Ответственные органы бьются за информационную безопасность (иногда друг с другом)

Cisco подтверждает, что некоторые продукты затронуты критической уязвимостью удаленного выполнения кода Erlang/OTP CVE-2025-32433.

Уязвимость, обнаруженная группой исследователей из Рурского университета в Бохуме (Германия), отслеживается как CVE-2025-32433 и описывается как проблема обработки сообщений протокола SSH, которая может позволить неавторизованному злоумышленнику получить доступ к уязвимым системам и выполнить произвольный код.

Исследователи предупредили, что эксплуатация уязвимости может привести к полной компрометации хостов, что позволит третьим лицам получить несанкционированный доступ к конфиденциальным данным и манипулировать ими, а также к атакам типа DoS.

CVE-2025-32433 был исправлен в OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Предыдущие версии затронуты.

Вскоре после того, как существование уязвимости стало известно, сообщество специалистов по кибербезопасности обнаружило, что эксплуатация CVE-2025-32433 тривиальна, а технические подробности и PoC-эксплойты стали общедоступными в течение 24 часов.

Исследователи Qualys полагают, что после обнаружения ошибки многие устройства могут быть уязвимы для атак, учитывая, что большинство устройств Cisco и Ericsson работают на Erlang.

Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, те, которые используются в устройствах OT/IoT и периферийных вычислительных устройствах, подвержена риску взлома.

Arctic Wolf также проанализировала потенциальное воздействие и указала, что помимо Ericsson и Cisco, которые связывают Erlang с несколькими продуктами, это ПО используют National Instruments, Broadcom, EMQ Technologies, Very Technology, Apache Software Foundation и Riak Technologies.

Однако для них обычно требуется отдельная установка Erlang/OTP.

В своюочередь, Cisco продолжает оценку воздействия CVE-2025-32433, изучая ряд продуктов для маршрутизации, коммутации, унифицированных вычислений, управления сетями и сетевых приложений.

На данный момент компания точно подтверждает, что затронуты продукты ConfD, Network Services Orchestrator (NSO), Smart PHY, Intelligent Node Manager и Ultra Cloud Core.

Сетевой гигант отметил, что, хотя уязвимости подвержены ConfD и NSO (выпуск исправлений ожидается в мае), они не уязвимы для удаленного выполнения кода из-за своей конфигурации.

Исследователи Лаборатории Касперского сообщают о новой кампании группы Lazarus, получившей название Операция SyncHole и нацеленной с ноября прошлого года на организации в Южной Корее.

В ходе атак задействуется сложная тактика заражения через легитимные сайты (watering hole) и эксплуатации уязвимостей в южнокорейском ПО.

Жертвами Операции SyncHole стали как минимум шесть организаций в сферах IT, разработки, финансов, производства полупроводников и телекоммуникаций в Южной Корее.

Однако на самом деле потенциально пострадать могло гораздо больше компаний.

Оперативно ключевая информация была передана ЛК в Агентство по интернету и кибербезопасности Южной Кореи (KrCERT/CC) для быстрого реагирования, по результатам использованное в кампании ПО было обновлено до версий с устраненными уязвимостями.

В числе других выделенных особенностей Операции SyncHole - использование 0-day в Innorix Agent для горизонтального перемещения, а также новые разновидности вредоносных утилит: ThreatNeedle, загрузчик Agamemnon, wAgent, SIGNBT и COPPERHEDGE с обновленными возможностями.

Первый случай заражения был обнаружен в ноябре прошлого года, когда ЛК зафиксировала одну из разновидностей бэкдораобщают о новой кам- одного из флагманских зловредов группы Lazarus, использованного в атаке на южнокорейского разработчика ПО.

Зловред работал в памяти легитимного процесса SyncHost.exe в качестве подпроцесса Cross EX - легитимного ПО, разработанного в Южной Корее.

Скорее всего, это стало отправной точкой для компрометации еще пяти жертв.

В южнокорейском сегменте для доступа к онлайн-банкингу и государственным сайтам требуется установка специального защитного ПО, обеспечивающего защиту от кейлоггеров и цифровую подпись на основе сертификатов.

Подобные программы для реализации своих возможностей постоянно работают в фоновом режиме для взаимодействия с браузером.

Lazarus же продемонстрировала глубокое понимание этой специфики, разработав стратегию атак на южнокорейские организации, которая основана на сочетании уязвимостей в таком ПО с атаками типа watering hole.

Решение Cross EX обеспечивает работу вышеописанного защитного ПО в различных браузерах и запускается с пользовательскими правами, за исключением первого запуска после установки.

Хотя точный способ доставки вредоносного ПО через Cross EX остался неизвестен, в ЛК предполагают, что в ходе атаки злоумышленникам удалось повысить привилегии, поскольку в большинстве случаев процесс запускался с высоким уровнем целостности.

В самой ранней атаке этой операции группа Lazarus также воспользовалась уязвимостью в другом южнокорейском ПО - Innorix Agent, чтобы обеспечить возможность горизонтального перемещения и установить дополнительное вредоносное ПО на целевые машины.

Более того, для эксплуатации этой уязвимости злоумышленники разработали специализированный зловред, автоматизирующий процессы и повторяемые действия.

Во время анализа поведения вредоносного ПО исследователи обнаружили еще одну 0-day в Innorix Agent, позволяющую загружать произвольные файлы, успев уведомить KrCERT и поставщика, прежде чем ею воспользовались злоумышленники в реальных атаках.

Цепочка заражения активировалась после того, как пользователь атакуемой системы посещал ряд южнокорейских новостных сайтов, на этом этапе компрометация начиналась с бэкдора ThreatNeedle.

В целом, операция протекала в два этапа: в зависимости от используемого вредоносного ПО.

Первый этап включал цепочку выполнения с ПО ThreatNeedle и wAgent.

За ним последовал второй этап, в рамках которого применялись SIGNBT и COPPERHEDGE.

В целом исследователи выделили четыре различные цепочки выполнения вредоносного ПО, которые имели место как минимум в шести пострадавших организациях.

Технические подробности по каждой из них с разбором инструментария и индикаторы компрометации - в отчете.

Исследователи Cybernews вскрыли серьезное нарушение конфиденциальности, связанное с утечкой из WorkComposer, приложения для мониторинга сотрудников, которым пользуются более 200 000 человек в тысячах компаний.

Приложение предназначено для отслеживания производительности путем регистрации активности и регулярного создания снимков экрана рабочих хостов сотрудников.

Как обнаружили исследователи, все они в количестве более 21 млн. изображений оказались в незащищенном хранилище Amazon S3, транслируя кадр за кадром то, как сотрудники проводят свой день на рабочих местах.

Так что в слитых скринах оказалась масса крайне конфиденциальных данных, включая полноэкранные снимки электронных писем, внутренних чатов и деловых документов, а также страницы входа в систему, учетные данные, ключи API и др. информацию, которую можно использовать для атак на компании по всему миру.

21 февраля Cybernews уведомили WorkComposer, после чего 19 марта с поставщиком связался CERT, а к 1 апреля доступ удалось залочить.

Официальных комментариев пока не последовало.

Тем не менее, как полагают исследователи клиенты и сам поставщик WorkComposer теперь могут столкнуться с нарушениями GDPR или CCPA (или других законодательных требований).

На практике это уже первый случай - в ходе предыдущего расследования Cybernews была раскрыта утечка WebWork, включавшая более 13 млн. снимков экрана с личными и другими конфиденциальными данными пользователей.

ASUS выпустила исправление для ошибки AMI, которая позволяет хакерам выводить из строя серверы.

CVE-2024-54085 представляет собой уязвимость максимальной степени серьезности и затрагивает ПО MegaRAC Baseboard Management Controller (BMC) компании American Megatrends International, используемое десятками поставщиками серверного оборудования, включая HPE, ASUS и ASRock.

Как отмечает Eclypsium, локальный или удаленный злоумышленник может воспользоваться уязвимостью, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту интерфейса BMC (Redfish).

Эксплуатация позволяет злоумышленнику удаленно управлять взломанным сервером, удаленно развертывать вредоносное ПО, вносить изменения в прошивку, выводить из строя компоненты материнской платы (BMC или BIOS/UEFI), наносить потенциальный физический ущерб серверу и осуществлять бесконечные циклы перезагрузки, которые жертва не сможет остановить.

Хотя AMI выпустила бюллетень вместе с исправлениями 11 марта 2025 года, затронутым OEM-производителям потребовалось время для внедрения исправлений в свои продукты.

Так что на днях ASUS объявила о выпуске своих исправлений для CVE-2024-54085 для четырех моделей материнских плат, затронутых этой ошибкой.

Обновления и рекомендуемые версии прошивки BMC, до которых следует обновиться пользователям:

- PRO WS W790E-SAGE SE – версия 1.1.57 (здесь)
- PRO WS W680M-ACE SE – версия 1.1.21 (здесь)
- PRO WS WRX90E-SAGE SE – версия 2.1.28 (здесь)
- Pro WS WRX80E-SAGE SE WIFI – версия 1.34.0 (здесь)

Учитывая серьезность уязвимости и возможность ее удаленной эксплуатации, крайне важно как можно скорее выполнить обновление.

Подробные инструкции по безопасному обновлению прошивки MBC и устранению неполадок - здесь.

🛑 Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch

ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.

Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.

На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.

✋ @Russian_OSINT

Продолжаем отслеживать трендовые уязвимости:

1. Исследователь безопасности Чжовэй Чжан опубликовал PoC для CVE-2024-53104, уязвимости нулевого дня, используемой Cellebrite для разблокировки устройств Android.

Google исправила уязвимость в феврале, а Amnesty International утверждает, что 0-day использовалась сербскими правоохранителями для разблокировки телефонов оппозиции и журналистов.

2. Microsoft выделила более 1,6 млн долларов в качестве призов во время своего первого в истории хакерского конкурса Zero Day Quest.

Исследователи представили более 600 уязвимостей в облачных и ИИ-сервисах Microsoft.

Компания отмечает, что мероприятие Zero Day Quest прошло успешно, и планирует проводить его ежегодно.

3. Varonis разработала PoC-инструмент под названием Cookie-Bite, который использует мошенническое расширение браузера для кражи файлов cookie для Azure Entra и доступа к облачным ресурсам с помощью атаки с перехватом сеанса.

4. WinZIP выкатила исправление для нового обхода Mark-of-the-Web (CVE-2025-33028).

По-видимому, это патч для неполного исправления прошлогоднего обхода MotW (CVE-2024-8811).

5. Tenable обнаружила EoP-уязвимость в Google Cloud Platform (GCP).

Проблема, которую Tenable назвала ConfusedComposer, уже исправлена.

6. Исследователь Шарон Бризинов рассказал, как ему удалось заработать более 64 000 долл. в качестве вознаграждения за обнаружение ошибок, охотясь за секретами и токенами в ранее удаленных файлах GitHub.

Ресерчеры из Лаборатории Касперского выкатили увесистый отчет по результатам исследования каналов распространения мегапопулряного в киберподполье стилера Lumma.

С развитием модели MaaS входной барьер для начинающих киберпреступников значительно снизился, а стилеры стали одним из самых доходных инструментов в арсенале злоумышленников.

Среди подобных предложений наиболее выделяется стилер Lumma, впервые представленный в 2022 году злоумышленником с ником Lumma.

Изначально он распространялся под названием LummaC2 со стартовой ценой 250 долл., но смог быстро набрать популярность в даркнете.

По состоянию на март 2025 года число связанных с ним предложений в даркнете и Telegram-каналах продолжает расти, а клиентская база стилера насчитывает более тысячи активных подписчиков.

Обычно доставка Lumma обычно требует взаимодействия с пользователем, который должен, например, перейти по ссылке или запустить выполнение вредоносных команд.

Недавно в ходе обработки одного из обращений команда реагирования на киберинциденты Лаборатории Касперского (GERT) обнаружила в системе клиента стилер Lumma.

Анализ показал, что причиной инцидента послужили действия пользователя: его обманом заставили запустить вредоносную команду через поддельную CAPTCHA.

Несмотря на то, что ЛК уже рассматривали этот метод распространения в одной из предыдущих статей, с тех пор удалось обнаружить новые детали этой кампании.

В новом отчете исследователи подробно изучили процесс заражения в сценарии с поддельной CAPTCHA, и представили индикаторы компрометации.

Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.

На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.

Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.

Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.

Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.

Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.

Среди основных возможностей панели:

- генерация новых имплантов;

- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;

- передача команд развернутым имплантам;

- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;

- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;

- система сущностей с многоуровневой абстракцией;

- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;

- возможность создания заметок для целей и связанных с ними хостов.

Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.

Все подробности - в отчете.

Исследователи Dr.Web раскрыли новую вредоносную кампанию с использованием шпионского ПО для Android, нацеленную на российских военнослужащих под видом картографического ПО Alpine Quest.

По всей видимости, основной целью кампании является контроль за перемещениями и позициями российских военных, прежде всего в зоне проведения СВО.

При этом шпионское ПО (отслеживается Dr.Web как Android.Spy.1292.origin) скрыто внутри легитимных версий Alpine Quest - мобильного приложения, которое используется российскими военными для координации войсковых операций.

Зараженные приложения распространяются в виде APK-файла через каналы в Telegram, рекламирующие пиратскую PRO-версию приложения, и даже через некоторые российские порталы приложений для Android.

Причем изначально злоумышленники размещали ссылки для загрузки приложения в одном из российских каталогов приложений через Telegram, однако позднее троянизированная версия распространялась напрямую в виде APK-файла в качестве обновления приложения.

После установки на устройство Android вредоносное приложение выглядит и функционирует так же, как оригинал, что позволяет ему оставаться незамеченным в течение длительного времени, собирая при этом конфиденциальные данные.

После заражения цели шпионское ПО собирает данные с устройства и отправляет их на удаленный сервер. В их числе: номер телефона жертвы, список контактов, данные геолокации и данные о локальных файлах.

По данным Dr.Web, злоумышленники особенно заинтересованы в поиске и извлечении «конфиденциальных документов», которые военнослужащие могли отправить через Telegram и WhatsApp.

Они также крадут locLog, файл AlpineQuest, который регистрирует данные о местоположении и может использоваться для воспроизведения перемещений жертвы во времени.

Кроме того, шпионская программа поддерживает возможность загрузки и запуска дополнительных модулей, значительно расширяющих ее функциональность.

Несмотря на то, что Dr.Web не называет источник атаки, атрибутировать угрозу в данном случае не составляет особого труда - это очевидно.

🐺 От Buhtrap до Watch Wolf.

• На фоне кампаний крупных киберпреступных кластеров, приводящих, например, к масштабным утечкам и шифрованию всех данных в инфраструктуре, часто не видны действия небольших группировок. Про них практически ничего неслышно в инфополе, но их деятельность наносит большой ущерб бизнесу на территории РФ.

• Эксперты BI.ZONE вчера опубликовали новое исследование, где рассказали про одну из самых заметных хакерских группировок, которая прошла путь от небольшого объединения до целого кластера активности.

• Группировка Buhtrap с первых лет активности постоянно дробилась на более мелкие части, исходные коды инструментов утекали, а панели управления выставляли на продажу. С 2014 года под Buhtrap понимались различные группировки, которых объединяли инструменты, способы проведения атак и общая цель — кража денег. К 2023 году Buhtrap переросла в целый кластер активности, которая в конечном итоге получила название Watch Wolf.

• Данное исследование содержит подробное описание жизненного цикла атак, известные кампании, используемые инструменты и методы, которые применялись в ходе атак на малый и средний бизнес в России.

➡ Скачать можно отсюда: https://bi.zone/upload/Buhtrap

S.E. ▪️ infosec.work ▪️ VT

Исследователи Palo Alto Networks сообщают о пугающей простоте, с которой северокорейские «ИТ-шники» задействуют технологию deepfake в режиме реального времени для проникновения в организации через удаленные рабочие места.

В ходе экспериментов исследователям потребовалось чуть больше часа без какого-либо предварительного опыта, чтобы понять и освоить технологию создания deepfake в реальном времени, используя легкодоступные инструменты и бюджетное оборудование.

Такая доступность технологии позволяет злоумышленникам легко воссоздавать убедительные синтетические личности и действовать незамеченными, обходя при этом существующие ограничения.

Как отмечают в Palo Alto, в последнее время фиксируется настоящий всплеск инцидентов с использованием deepfakes в реальном времени в ходе собеседований.

Задокументировали случаи, когда соискатели представляли синтетические видеопотоки, используя идентичные виртуальные задние фоны для разных профилей кандидатов.

Кроме того, как отмечает Pragmatic Engineer, выявлен кейс, когда в ходе найма в польскую компанию по разработке ИИ собеседование проходил один и тот же кандидат, но под разными личностями.

Причем второй раз он уже имел более четкие ответы на задаваемые вопросы.

По мнению Palo Alto, указанные Pragmatic Engineer обстоятельства этого собеседования указывают на причастность к афере северокорейских ИТ-работников.

В целом, они постоянно демонстрируют значительный интерес к методам манипулирования личностью.

Убедиться в этом исследователи смогли, когда расследовали взлом Cutout.pro, сервиса обработки изображений с использованием ИИ.

Тогда им удалось выявить множество адресов электронной почты, вероятно, связанных с деятельностью ИТ-специалистов из КНДР.

Теперь же северокорейские хакеры усовершенствовали свою методологию проникновения, внедрив технологию deepfake в реальном времени, получая два операционных преимущества.

Во-первых, это позволяет одному оператору проводить собеседования на одну и ту же должность несколько раз, используя разные синтетические персоны.

Во-вторых, это помогает им избегать идентификации и попадания в розыскные сводки.

Так что угроза синтетической идентичности, типичная для северокорейских операций, представляет собой развивающуюся проблему и становится все более актуальной для организаций по всему миру.

Исследователи Symantec в новом отчете сообщают о новой кампании китайской APT Lotus Panda, нацеленной на ряд компаний в неназванной стране Юго-Восточной Азии в период с августа 2024 года по февраль 2025 года.

Целями атак стали: министерство, организация управления воздушным движением, оператор связи и строительная компания.

Атаки включали использование новых специальных инструментов, включая загрузчики, стилеры и SSH-утилита.

Кроме того, одной из целей атаки выступало информационное агентство, расположенное в другой стране Юго-Восточной Азии, и организация, занимающаяся авиаперевозками, расположенная в другом соседнем государстве.

По оценкам ИБ-подразделения Broadcom, кластер угроз является продолжением кампании, о которой исследователи сообщали еще в декабре 2024 года как о широкомасштабном кластере атак в Юго-Восточной Азии, проводившихся по крайней мере с октября 2023 года.

В свою очередь, в прошлом месяце Cisco Talos связала Lotus Panda с атаками, нацеленными на правительственный, производственный, телекоммуникационный и медийный секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване, с помощью бэкдора, известного как Sagerunex.

Сама Lotus Panda (Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip) имеет богатый опыт организации кибератак в отношении правительственных и военных организаций в этом регионе.

Группа действует с 2009 года, но впервые оказалась в центре внимания в июне 2015 года, когда Palo Alto приписала ей кампанию целевого фишинга с использованием уязвимости Microsoft Office (CVE-2012-0158) для распространения бэкдора Elise (Trensil), предназначенного для выполнения команд и операций с файлами.

В последующих атаках APT задействовала уязвимость Microsoft Windows OLE (CVE-2014-6332) с помощью вредоносного вложения в фишинговом письме, нацеливаясь на сотрудников МИД Франции на Тайване, для развертывания еще одного трояна, связанного с Elise, с условным названием Emissary.

В последней волне атак, наблюдаемых Symantec, злоумышленники использовали легитимные исполняемые файлы Trend Micro (tmdbglog.exe) и Bitdefender (bds.exe) для загрузки вредоносных DLL, которые использовались в качестве загрузчиков для расшифровки и запуска полезной нагрузки следующего этапа, встроенной в локально сохраненный файл.

Двоичный файл Bitdefender также использовался для загрузки другой DLL, хотя точная природа файла неясна.

Другим неизвестным аспектом кампании является начальный вектор доступа.

Атаки проложили путь обновленной версии Sagerunex, инструмента, используемого исключительно Lotus Panda.

Он обладает возможностями сбора информации о целевом хосте, ее шифрования и передачи на внешний сервер злоумышленника.

В атаках также задействованы инструмент обратного SSH и два стилера ChromeKatz и CredentialKatz, которые способны перехватывать пароли и файлы cookie, хранящиеся в браузере Google Chrome.

Злоумышленники также разворачивали общедоступный инструмент Zrok, используя функцию совместного использования инструмента для предоставления удаленного доступа к службам, которые были раскрыты внутри.

Помимо этого в атаках применял и другой легитимный инструмент под названием datechanger.exe, который способен изменять временные метки файлов, предположительно, чтобы запутать аналитиков при расследовании инцидента.

Обновленные индикаторы компрометации - в отчете.

Исследователи Лаборатории Касперского обращают внимание в новом отчете на фишинговые атаки с использованием HTML в SVG.

Традиционно злоумышленники совершенствуют фишинговые атаки, практикуя все более изощренные методы обмана пользователей и обхода защитных механизмов.

Для этих целей задействуют хитрые способы перенаправления пользователя в URL-адресах, добавляя адрес вредоносного сайта в аргументы к внешне безобидной ссылке, вставляют ссылки в PDF, рассылают HTML-вложения, размещая в них фишинговый сайт целиком или открывающий его JavaScript.

Недавно в ЛК заметили новый тренд, связанный с тем, что злоумышленники начали распространять вложения в формате Scalable Vector Graphics (SVG), который обычно используется для хранения изображений.

Если открыть такой файл в текстовом редакторе, можно увидеть XML-разметку, которую можно редактировать.

Поскольку в основе формата SVG лежит XML, в отличие от JPEG или PNG, он поддерживает JavaScript и HTML.

Благодаря этому дизайнерам удобнее работать с неграфическим контентом: текстом, формулами, интерактивными элементами и т.д.

Однако злоумышленники пользуются этим в своих целях, вставляя в файл с изображением скрипт со ссылкой на фишинговую страницу.

В начале 2025 года исследователи ЛК задетектили фишинговые письма, которые очень напоминали атаки с вложенным HTML, но при этом содержали SVG-файл.

Если открыть код письма, можно увидеть, что вложение относится к типу image.

При этом, открыв файл в текстовом редакторе, становится понятно, что он представляет собой, по сути, HTML-страницу, в которой нет даже упоминания векторной графики.

В браузере такой файл будет выглядеть как HTML-страница со ссылкой якобы на аудиофайл.

При переходе по ссылке пользователь попадает на фишинговую страницу, маскирующуюся под сервис Google Voice.

Аудиодорожка вверху страницы представляет собой некликабельную картинку.

При попытке прослушать сообщение, нажав на кнопку Play Audio, пользователь попадает на фейковую страницу ввода логина и пароля от корпоративной почты.

Эта страница тоже содержит упоминание Google Voice, а также лого атакуемой компании для усыпления бдительности пользователя.

В другом примере, отдаленно напоминающем уведомление от сервиса электронной подписи, злоумышленники выдают SVG-вложение за документ, который необходимо изучить и подписать.

В отличие от первого варианта, где SVG-файл выполнял роль HTML-страницы, в данном кейсе в него вставлен JavaScript, который при попытке открыть файл загружает браузер с фишинговым сайтом, содержащим фальшивую форму авторизации в сервисах Microsoft.

По данным телеметрии ЛК, в марте 2025 года количество рассылок с SVG-вложениями значительно выросло. Всего за первый квартал 2025 года было обнаружено 2825 таких писем.

В апреле тенденция к росту продолжилась: за первую половину месяца мы обнаружили 1324 письма с SVG-вложениями - более двух третей от мартовского показателя.

Несмотря на то, что пока подобные атаки выглядят сравнительно примитивно, использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целевых атаках.

Прошло не так много времени с момента раскрытия, а критическая ошибка Erlang/OTP SSH RCE уже обзавелась общедоступными эксплойтами.

Упоминаемая проблема отслеживается как CVE-2025-32433 и позволяет неавторизованным злоумышленникам удаленно выполнять код на уязвимых устройствах.

Исследователи из Рурского университета в Бохуме (Германия) в среду раскрыли ее, предупреждая, что все устройства, на которых запущен этот демон, уязвимы.

Как отмечает OpenWall, проблема вызвана ошибкой в обработке сообщений протокола SSH, которая позволяет злоумышленнику отправлять сообщения протокола соединения до аутентификации.

Она была исправлена в версиях 25.3.2.10 и 26.2.4, но поскольку платформа широко используется в телекоммуникационной инфраструктуре, базах данных и системах высокой доступности, немедленное обновление устройств может оказаться непростой задачей.

Однако ситуация стала еще более серьезной, поскольку исследователи в частном порядке навали массово разрабатывать эксплойты, реализующие удаленное выполнение кода на уязвимых устройствах.

Среди них - Питер Гирнус из Zero Day Initiative и представители Horizon3, которые заявили, что уязвимость оказалась на удивление легко эксплуатируемой.

Вскоре после этого ProDefense опубликовала PoC на GitHub, затем еще один эксплойт был анонимно размещен на Pastebin, и оба быстро распространились через соцсети.

Так что теперь, когда эксплойты пошли в массы, злоумышленники достаточно быстро начнут сканировать уязвимые системы и эксплуатировать их.

Согласно данным Shodan, обнаружено более 600 000 IP-адресов, работающих под управлением Erlang/OTP.

Однако исследователи полагают, что большинство этих устройств работают под управлением CouchDB, который не подвержен уязвимости.

Представитель Apache CouchDB также подтверждает, что в CouchDB не используются функции SSH-сервера или клиента из Erlang/OTP, поэтому опасений по поводу CVE-2025-32433 нет.

Тем не менее, это не приуменьшает значимости угрозы и потенциально объемного числа атак. Будем следить.

Исследователи из Positive Technologies связали активность группы Team46 (замеченную в прошлом году при атаке на российского оператора ж/д-перевозок) с хакерами TaxOff, отслеживая обе в качестве единой группы.

В марте 2025 года Позитивы расследователи атаку, в которой использовалась 0-day для браузера Chrome, атрибутировав инцидент к группировке TaxOff, ранее уже попадавшей в поле зрения.

В атаке использовалось фишинговое письмо со ссылкой, при переходе на которую жертва активировала 1-click exploit (CVE-2025-2783) и устанавливала бэкдор Trinper, которым традиционно орудовала группировка TaxOff.

В ходе исследования этого инцидента им удалось выйти на более раннюю атаку, совершенную в октябре 2024 года, которая начиналась с фишингового письма, по структуре и стилистике до боли похожего на письмо из новой атаки.

По ссылке https[://]mil-by[.]info/#/i?id=[REDACTED] из письма скачивается архив с ярлыком, запускающим powershell.exe с командой, которая ранее также фигурировала в атаках Team46.

Powershell-скрипт, который скачивался после ее выполнения, и скрипт после деобфускации также похожи на скрипты из арсенала Team46.

Для нейминга документа-приманки на компьютере жертвы обе группировки применяли один и тот же паттерн: umawbfez-bkw5-f85a-3idl-3z4ql69v8it0.pdf и 399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf.

В обоих случаях при скачивании файла использовался User-Agent Edge, а при скачивании полезной нагрузки - User‑Agent Яндекс Браузера.

Также в обоих случаях имя компьютера передавалось через параметр query.

Отличалась лишь полезная нагрузка.

Ранее атакующие для ее запуска применяли уязвимость DLL-Hijacking для Яндекс.Браузера (CVE-2024-6473) с подменой библиотеки Wldp.dll.

В новом кейсе использовался системный компонент rdpclip.exe, также уязвимый к DLL-Hijacking, с подменой системной библиотеки winsta.dll.

При этом библиотека winsta.dll представляет собой загрузчик бэкдора Trinper'a группировки TaxOff.

Бэкдор использовал управляющий сервер common-rdp-front.global.ssl.fastly.net.

В аналогичной атаке, зафиксированной в сентябре 2024 года, рассылался архив с ярлыком Ростелеком.pdf.lnk, который также запускал powershell.exe с характерной для Team46 командой.

Документ-приманка в данной атаке включал указание номера телефона в конце страницы, также выполнен в стиле Team46: некорректный, содержащий случайно набранный на клавиатуре набор цифр.

Полезной нагрузкой в данной атаке являлся файл AdobeARM.exe, представляющий собой загрузчик бэкдора из первой известной Позитивам атаки Team46, описанный исследователями из Dr.Web.

Причем ранее ПТ обнаружили этот бэкдор, также имеющий имя AdobeARM.exe, на одной системе с бэкдором Trinper во время одного из инцидентов, а анализ показал, что загрузчик TaxOff функционально идентичен загрузчику Trojan.Siggen27.11306 Team46.

Кроме того, обе группировки использовали синтаксически похожие домены с мимикрией под легитимные сервисы с дефисами в названии: ms‑appdata‑fonts.global.ssl.fastly[.]net (Team46) и fast‑telemetry‑api.global.ssl.fastly[.]net (TaxOff).

По итогу, исследователи заключили, что Team46 и TaxOff являются одной и той же APT-группой, для которой Позитивы теперь выбрали единое наименование - Team46.

Китайская APT-группа совершила ошибку, некорректно настроив на непродолжительное время один из серверов, а в Hunt Intelligence смогли оперативно ей воспользоваться и поглядеть на раскрытый таким образом инструментарии, задействованный в ее атаках.

Исследователи полагают, что сервер, вероятно, управлялся APT, отслеживаемой как RedGolf (которая пересекается с APT41), и был связан с вредоносным ПО KeyPlug.

Работавший менее суток сервер привел к утечке, предположительно, включающей скрипты эксплойтов для брандмауэров и VPN Fortinet, веб-оболочек PHP и скриптов сетевой разведки, нацеленных на крупную японскую компанию.

Как отмечают исследователи, помимо представления об инструментарии, найденные артефакты запечатлели логику работу группы: сканирование, фильтрацию, подготовку и постановку задач, все это отобразилось через рабочие скрипты.

В общем, достаточно редкая возможность увидеть, как APT-шники готовят доступ и задействуют инфраструктуру для проведения «тихой работы» в отрезке между первоначальным входом и реализацией долгосрочных целей.

Подробный разбор - в отчете.

Критическая уязвимость в устройствах XPort Lantronix может быть использована для удаленного взлома систем в критически важных секторах, прежде всего энергетической инфраструктуры.

Согласно сообщению CISA, в Lantronix XPort, продукте, который обеспечивает удаленное подключение и управление устройствами, была обнаружена серьезная ошибка, связанная с отсутствием аутентификации.

Уязвимость позволяет злоумышленнику получить несанкционированный доступ к интерфейсу конфигурации устройства.

По данным CISA, XPort используется по всему миру в таких секторах, как производство, транспорт, водоснабжение и энергетика, а также в работе светофоров, промышленноости и систем наблюдения.

По словам исследователя Microsec Сувика Кандара, обнаружившего уязвимость, изученный продукт по большей части имеет широкое распространение в нефтегазовой отрасли.

Исследователь смог идентифицировать более 1400 экземпляров XPort, доступных через Интернет, в том числе более 300, развернутых в нефтегазовой инфраструктуре, в том числе, в системах управления топливом на АЗС.

Он предупредил, что злоумышленник может воспользоваться уязвимостью для получения полного удаленного контроля над целевым устройством, включая его конфигурацию и рабочие параметры.

Хакеры также смогут проникнуть в другие подключенные системы сети и вызвать серьезные проблемы в работе критической инфраструктуры.

Касаемо энергетической отрасли, в частности, заправочных станций, эксплуатация проблемы может повлиять на системы автоматического измерения уровня топлива в резервуарах (ATG), что может привести к сбоям в обслуживании и финансовым потерям.

Учитывая характер развертывания и количество выявленных экземпляров, уязвимость представляет значительную угрозу для кибербезопасности энергетического сектора, особенно систем подачи и распределения газа и ГСМ.

Lantronix был извещен о проблеме, но, судя по сообщениям CISA, так и не выпустил исправление.

Вместо этого поставщик посоветовал клиентам перейти на другой продукт - XPort Edge, который не подвержен уязвимости.

Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.

Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.

Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.

По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.

В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.

Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.

Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.

Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.

В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).

При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.

Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.

Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.

Представители Vx-underground решили потрепать нервишки разрабам Bubble io, платформы для создания функциональных приложений на основе ИИ без необходимости написания кода, угрожая слить 0-day эксплойт для обнаруженной критической баги.

Дело в том, что в 2024 году два исследователя обнаружили критическую уязвимость в решении, о чем незамедлительно уведомили поставщика, однако по какой-то причине отчет остался без внимания.

Впоследствии они даже выступали с докладом по уязвимости, опубликовали PoC и даже написали статью, но и после этого достучаться до поставщика не удалось.

Так что клиентов Bubble, в числе которых Danone, SeaGate, Unity, Shopify, Paramount Pictures, HubSpot, Amazon, PWC, Yamaha, L'Oreal, да и саму компанию, ожидают увлекательные выходные, судя по описанию уязвимости.

Но будем посмотреть.

Исследователи Positive Technologies сообщают о новой волне атак APT Cloud Atlas, нацеленных на российские компании в сфере военно-промышленного комплекса.

Выявить их удалось в рамках расследования инцидента на одном из таких предприятий, что позволило своевременно обнаружить начало новой кибератаки, отследить миграцию С2-инфраструктуры и эволюцию вредоносных документов, а также проинформировать потенциальных будущих жертв.

При изучении попавшего в поле зрения документа было установлено, что при его открытии зараженный узел реализует соединение с управляющим центром APT Cloud Atlas officeconfirm.technoguides[.]org, который был идентифицирован в ноябре 2024 года. 

Полагаем, что день и время отправки вредоносного документа - пятница, конец рабочего дня - были выбраны группировкой с расчетом на открытие документа невнимательным сотрудником, в спешке.

Вероятно, по замыслу атакующие намеревались комфортного перемещаться в зараженной инфраструктуре между невыключенными компьютерами в течение выходных дней.

Последующий детальный анализ вредоносного файла подтвердил сокрытие в нем информации об управляющей инфраструктуре в потоке 1Table документа Microsoft Office - характерная техника АРТ Cloud Atlas.

В январе 2025 года исследователи обнаружили другой вредоносный документ Microsoft Office, также содержавший информацию об указанном управляющем центре в потоке 1Table.

Он был отправлен в адрес опытно-конструкторского подразделения предприятия ОПК РФ. Целевое предприятие было незамедлительно проинформировано о готовящейся кибератаке.

Однако спустя несколько дней, в конце января 2025 года, внимание Позитивов привлек схожий по адресанту, тематике и структуре документ, отличавшийся управляющим центром, инкапсулированным в поток 1Table документа Microsoft Office, - cyberservice24[.]com.

Сбор и анализ сетевых артефактов, оставленных Cloud Atlas, позволил группе киберразведки установить вредоносную инфраструктуру, на которую мигрировали атакующие для проведения новой волны кибератак.

При исследовании новой инфраструктуры было обнаружено, что на сервере 45.140.169[.]16 на стандартном TCP-порте 993 был активирован протокол IMAP с TLS-сертификатом для домена block-monitor[.]net.

На начальных стадиях новой волны кибератак сервер, вероятно, использовался для рассылки вредоносных электронных писем.

Использование TLS-сертификата обеспечивало шифрование тела сообщений и вложений, что помогало группировке оставаться незамеченной для систем обнаружения и предотвращения вторжений на сетевом периметре атакуемых предприятий.

При этом MX-запись (DNS) для домена block-monitor[.]net отсутствовала, АРТ-группировка не планировала получать ответные письма и вступать в переписку с жертвами.

Наблюдение за вредоносной инфраструктурой позволило в режиме реального времени отследить весь масштаб новой киберактивности Cloud Atlas, вскрыть факты использования электронной почты ранее зараженных предприятий для отправки вредоносных документов Microsoft Office в адрес контрагентов (BEC-атаки).

Обнаруженные артефакты в совокупности указывают на то, что Cloud Atlas для формирования вредоносных файлов использует непубличные характерные для государственного сектора документы Microsoft Office, вероятнее всего, украденные у ранее зараженных предприятий.

Перед использованием в кибератаках из документов удаляются метаданные во избежание раскрытия информации, которая позволит идентифицировать скомпрометированные группировкой учреждения и предприятия.

Рекомендации, индикаторы и MITRE ATT&CK - в отчете.

Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.

Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.

Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.

После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.

Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).

При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).

Впервые эту технику применил Codefinger в кампании в декабре прошлого года.

Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.

Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.

Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.

Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.

Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.

У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.

Для обратно связи хакеры указывают awsdecrypt[@]techie.com.

Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.

В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.

Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.

Исследователи Лаборатории Касперского совместно со специалистами Т-Технологий в ходе расследования киберинцидента обнаружили новый сложный бэкдор, нацеленный на компьютеры, подключенные к сетям ViPNet.

Неизвестная APT-группа задействовала его в целевых атаках на десятки организаций в России, в том числе из госсектора, финансовой сферы и промышленности, преследуя цель кибершпионажа.

Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.

Архивы включали следующие файлы: action.inf (текстовый файл), lumpdiag.exe (легитимный исполняемый файл), msinfo32.exe (вредоносный исполняемый файл небольшого размера) и зашифрованный файл с полезной нагрузкой.

Имя данного файла различается от архива к архиву.

Проанализировав содержимое архива, в ЛК установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива.

Затем запускается файл lumpdiag.exe с аргументом --msconfig. Несмотря на то, что файл является легитимным, он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.

Файл msinfo32.exe - это загрузчик, который читает зашифрованный файл с полезной нагрузкой.

Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.

Последний обладает довольно универсальными возможностями: может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.

Защитные решения Лаборатории Касперского детектируют зловред как HEUR:Trojan.Win32.Loader.gen.

Последние инциденты зафиксированы в апреле 2025 года.

При этом исследователи до сих пор продолжают исследовать связанную с этим бэкдором атаку, так что ожидаем новых подробностей.

Исследователи Cymulate сообщают о четырех уязвимостях в основном компоненте службы планирования задач Microsoft Windows, которые могут быть использованы локальными злоумышленниками для EoP и очистки журналов с целью сокрытия доказательств вредоносной деятельности.
 
Проблемы были обнаружены в двоичном файле schtasks.exe, который позволяет администратору создавать, удалять, запрашивать, изменять, запускать и завершать запланированные задачи на локальном или удаленном компьютере.

По сути уязвимость представляет собой обход запроса контроля учетных записей, что позволяет злоумышленнику выполнять команды с высоким уровнем привилегий (SYSTEM) без одобрения пользователя.

Используя эту уязвимость, злоумышленники могут повысить свои привилегии и запустить вредоносные ПО с правами администратора, что приведет к несанкционированному доступу, краже данных или дальнейшей компрометации системы.

По данным Cymulate, проблема возникает, когда злоумышленник создает запланированную задачу с использованием пакетного входа в систему (т.е. пароля) вместо интерактивного токена, в результате чего служба планировщика задач предоставляет запущенному процессу максимально допустимые права.

Однако для того, чтобы эта атака сработала, злоумышленнику необходимо получить пароль другими способами, например, взломав хэш NTLMv2 после аутентификации на сервере SMB или использовав уязвимости, такие как CVE-2023-21726.

Конечный результат этой проблемы приводит к тому, что пользователь с низкими привилегиями может использовать двоичный файл schtasks.exe и выдать себя за члена таких групп, как «Администраторы», «Операторы резервного копирования» и «Пользователи журнала производительности», с известным паролем, чтобы получить максимально допустимые привилегии.

Регистрация запланированной задачи с использованием метода аутентификации Batch Logon с помощью XML-файла также может открыть путь для двух методов обхода защиты, которые позволяют перезаписывать журнал событий, эффективно стирая аудиторские следы предыдущей активности, а также переполнять журналы безопасности.

Как отмечают исследователи, первая обнаруженная уязвимость - это не просто обход UAC: по сути, это способ выдать себя за любого пользователя с его паролем из CLI для получения максимально предоставленных привилегии в сеансе выполнения задачи с флагами /ru и /rp.

Исследователи Trend Micro выкатили отчет с разбором активности новой банды вымогателей CrazyHunter, которая проворачивает сложную кампанию, нацеленную на тайваньские организации, в основном в секторах здравоохранения, образования и промышленности.

Как отмечают исследователи, CrazyHunter зарекомендовала себя как серьезную угрозу, способную нарушить функционирование критических секторов.

CrazyHunter полагается на сложные TTPs, в частности задействует метод BYOVD, который позволяет им эффективно обходить меры безопасности.

Почти 80% инструментария банды состоит из инструментов с открытым исходным кодом. 

При этом группа значительно расширила свой арсенал, интегрировав такие инструменты с открытым исходным кодом из GitHub, как: Prince Ransomware Builder и ZammoCide, для улучшения своих операционных возможностей.

Группа впервые отметилась в прошлом месяце, запустив свой сайт DLS, где размещено десять жертв - все из Тайваня.

Анализ телеметрии позволил выявить исследователям четкую схему целенаправленных нападений.

Как отмечает Trend Micro, наблюдения показывают, что CrazyHunter модифицируют свободно доступные исходные коды в соответствии со своими конкретными потребностями и значительно расширяют свои возможности.

Исследователи выявили и разобрали в отчете три инструмента с открытым исходным кодом, предоставленных GitHub, каждый из которых служит определенной цели.

Модифицированный вариант инструмента ZammoCide применяется в качестве AV/EDR-убийцы, способного завершать процессы EDR с помощью подхода BYOVD, использующего уязвимый драйвер zam64.sys.

Программа нацелена на определенные жестко закодированные имена процессов, в первую очередь, связанные с продуктами Trend Micro AV и EDR, а также процессы Microsoft Defender и Avira.

Банда также задействует SharpGPOAbuse для эксплуатации объектов групповой политики (GPO).

Используя права редактирования пользователя в GPO, они компрометируют объекты, контролируемые через GPO, и, таким образом, развертывают полезные нагрузки, добиваясь повышения привилегий и обеспечивая горизонтальное перемещение по сети жертвы.

И, наконец, основа атаки - вариант Prince ransomware, заказного вымогателя на основе Go.

Он использует шифрование ChaCha20 и ECIES для надежного шифрования файлов.

Злоумышленники настроили его, добавив расширение ".Hunter" к зашифрованным файлам.

Вымогатель сбрасывает записку с требованием выкупа под названием "Decryption Instructions.txt", изменяет обои рабочего стола жертвы и требует выплатить выкуп.

При этом атакующие не только полагались на инструменты с открытым исходным кодом, но и расширили свой арсенал дополнительным инструментарием и методами исполнения.

Технические подробности и IoCs - в отчете.

В реализации SSH на базе Erlang/Open Telecom Platform (OTP) обнаружена критическая уязвимость, которая позволяет злоумышленнику с сетевым доступом к SSH-серверу выполнить произвольный код без какой-либо аутентификации при определенных условиях.

CVE-2025-32433 присвоен максимальный балл CVSS 10,0.

Проблема возникает из-за неправильной обработки сообщений протокола SSH, которые по сути позволяют злоумышленнику отправлять сообщения протокола соединения до аутентификации.

Успешное использование недостатков может привести к выполнению произвольного кода в контексте демона SSH.

Риск еще больше усугубляется тем, что если процесс-демон запущен с правами root, то это позволяет злоумышленнику получить полный контроль над устройством, что, в свою очередь, открывает путь для неправомерного доступа, манипулирования конфиденциальными данными или DoS.

Все пользователи, использующие SSH-сервер на основе библиотеки Erlang/OTP SSH, вероятно, затронуты CVE-2025-32433.

Рекомендуется обновиться до версий OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.

В качестве временных обходных путей доступ к уязвимым SSH-серверам можно запретить с помощью соответствующих правил брандмауэра.

Исследователи Qualys описывают уязвимость как чрезвычайно критическую, которая открывает злоумышленнику возможности для установки программ-вымогателей или кражи конфиденциальных данных.

Erlang часто устанавливается в системах высокой доступности из-за его надежной и параллельной поддержки обработки.

Причем большинство устройств Cisco и Ericsson работают на Erlang.

Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, используемую в устройствах OT/IoT, периферийных вычислительных устройствах, подвержена эксплуатации.

Обновление до исправленной версии Erlang/OTP или поддерживаемых производителем версий устранит уязвимость.

В качестве мер по смягчению следует ограничить доступ к порту SSH только для авторизованных пользователей.

Apple выкатила экстренные обновления для исправления двух 0-day, которые использовались в «чрезвычайно сложной атаке» на iPhone ряда узко таргетированных целей.

Проблемы связаны с CoreAudio (CVE-2025-31200) и RPAC (CVE-2025-31201), затрагивая iOS, macOS, tvOS, iPadOS и visionOS.

CVE-2025-31200 была обнаружена Apple и Google Threat Analysis. Ее можно эксплуатировать, обрабатывая аудиопоток во вредоносном медиафайле для удаленного выполнения кода на устройстве.

Компания также исправила CVE-2025-31201, обнаруженную Apple.

Ошибка позволяет злоумышленникам с доступом на чтение или запись обходить Pointer Authentication (PAC), функцию безопасности iOS, которая помогает защититься от уязвимостей памяти.

Обе уязвимости были исправлены в iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1.

Список затронутых устройств включает как старые, так и новые модели: iPhone XS и более поздние, iPad Pro 13 дюймов, iPad Pro 13,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения и новее, macOS Секвойя, Apple TV HD и Apple TV 4K (все модели), а также Apple Vision Pro.

Несмотря на то, что эти 0-day использовались в целенаправленных атаках, пользователям настоятельно рекомендуется установить их как можно скорее.

Apple традиционно не стала делиться подробностями о том, как именно уязвимости использовались в атаках. Но поглядим еще.

Более 16 000 устройств Fortinet, подключенных к Интернету, оказались скомпрометированными с помощью нового бэкдора с символической ссылкой, который обеспечивает хакерам доступ с правами только для чтения к конфиденциальным файлам.

Неутешительную статистику представили исследователи The Shadowserver Foundation после того, как на прошлой неделе Fortinet предупреждала о клиентов об обнаружении нового механизма для сохранения удаленного доступа к файлам в корневой системе пропатченных устройств FortiGate, которые ранее были скомпрометированы.

По данным Fortinet, наблюдаемая кампания не связана с эксплуатацией новых уязвимостей, а является следствием атак, состоявшихся в период с 2023 по 2024 гг., когда злоумышленник применял 0-day для взлома устройств FortiOS.

Получив доступ к устройствам, атакующие создали символические ссылки в папке языковых файлов на корневую файловую систему устройств с включенным SSL-VPN.

Поскольку языковые файлы общедоступны на устройствах FortiGate с включенным SSL-VPN, злоумышленник может перейти в эту папку и получить постоянный доступ на чтение к корневой файловой системе (с конфигурациями) даже после устранения первоначальных уязвимостей.

Причем Fortinet начала уведомлять клиентов в частном порядке по электронной почте об устройствах FortiGate, детектированных FortiGuard в качестве скомпрометированных с помощью этого бэкдора с символической ссылкой.

Fortinet выпустила обновленную сигнатуру AV/IPS, которая позволяет обнаружить и удалить вредоносную символическую ссылку со скомпрометированных устройств.

Последняя версия прошивки также была оснащена таким функционалом. Обновление также предотвращает обслуживание неизвестных файлов и папок встроенным веб-сервером.

Наконец, если устройство было обнаружено как скомпрометированное, вполне возможно, что злоумышленники имели доступ к последним файлам конфигурации, включая учетные данные.

Поэтому все учетные данные следует сбросить, а администраторам следует выполнить остальные шаги, описанные в этом руководстве.

Инфосек вздрогнул после новостей про закрытие программы Common Vulnerabilities and Exposures (CVE), но на какой-то период можно расслабиться.

CISA экстренно отчислила пару тройку десятков миллионов зеленых для поддержания работоспособности проекта MITRE.

В агентстве признали, что «программа CVE бесценна для киберсообщества и является приоритетом CISA. Реализован опционный период по контракту, чтобы гарантировать отсутствие перерывов в критически важных услугах CVE».

По некоторым данным, контракт продлен на 11 месяцев.

Но есть в этой истории интересный момент.

Незадолго до сообщения CISA группа членов Совета CVE объявила о создании Фонда CVE - некоммерческой организации для обеспечения независимости программы CVE в свете предупреждения MITRE о приостановке финансирования.

В качестве мотивировки указывалось, в частности, что с момента своего создания инициатива CVE функционировала за государственный счет, что вызывало обеспокоенность среди членов совета относительно нейтральности всемирно используемого ресурса, полностью зависающего от решений своего спонсора.

Так что теперь, фонд CVE, конечно, планирует опубликовать дополнительную информацию по планам новой стратегии развития CVE в ближайшие дни, но с учетом возобновления контракта MITRE, эти намерения могут поменяться.

Но будем посмотреть.

😟 Black Hat ASIA 2025.

• C 1 по 4 апреля в Сингапуре проходила одна из крупнейших международных конференций в мире по информационной безопасности — Black Hat ASIA 2025. Она является частью серии конференций Black Hat, которые проводятся также в США и Европе. В этом году на конфе было представлено большое количество интересных докладов и уникальной информации.

• Официальный YT-канал пока не опубликовал видео с выступлений, но в одном из репозиториев появились слайды с данной конференции, которые можно найти вот тут:

➡ https://github.com/onhexgroup/Conferences/BlackHat

• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:

➡Видео Black Hat Europe 2024;
➡Видео Black Hat Asia 2024;
➡Видео Black Hat USA 2024.

➡Видео Black Hat Europe 2023;
➡Видео Black Hat USA 2023;
➡Видео Black Hat Asia 2023.

➡Видео Black Hat Europe 2022;
➡Видео Black Hat USA 2022;
➡Видео Black Hat Asia 2022.

➡Black hat Europe 2024;
➡Презентации Black Hat USA 2024;
➡Презентации Black Hat Asia 2024.

➡Презентации Black Hat Europe 2023;
➡Презентации Black Hat USA 2023;
➡Презентации Black Hat Asia 2023.

➡Презентации Black Hat Europe 2022;
➡Презентации Black Hat USA 2022;
➡Презентации Black Hat Asia 2022.

S.E. ▪️ infosec.work ▪️ VT

Вице-президент MITRE Йосри Барсум объявил о приостановке финансирования со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE), что может негативно отразиться на всей глобальной индустрии кибербеза.

В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.

Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.

Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ. 

Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации. 

В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).

В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.

Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.

После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.

Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.

При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.

Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.

Хакеры взломали интернет-форум 4chan.

Злоумышленники слили часть исходного кода сайта и опубликовали изображения бэкэнда и страницы базы данных сайта.

4chan не подтвердил взлом, но сайт был недоступен весь день во вторник. О взломе стало известно в объявлении на форуме их конкурентов Soyjak Party.

Представленные пруфы позволяют констатировать, что это второй крупный взлом 4chan после аналогичного инцидента в 2014 году.

Исследователи Dr.Web сообщают о масштабной атаке на цепочки поставок ПО различных китайских производителей Android-смарфтонов, связанную с внедрением троянизированных приложений WhatsApp и Telegram, нацеленных на пользователей криптовалют с помощью клиппера.

Несмотря на то, что тему не новая, исследователи Dr.Web отмечают серьезную эскалацию, когда мошеннические приложения внедряются непосредственно в составе предустановленного на телефоне ПО.

Большинство скомпрометированных устройств являются бюджетными копиями известных премиальных моделей Samsung и Huawei, включая S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra.

По крайней мере четыре из затронутых моделей производятся под брендом SHOWJI.

Злоумышленники использовали приложение для визуального улучшения технических характеристик, отображаемых на странице «Об устройстве», а также утилиты для получения информации об оборудовании и софте, такие как AIDA64 и CPU-Z, создавая у пользователей ложное впечатление, что телефоны работают под управлением Android 14 и имеют улучшенное аппаратное обеспечение.

Вредоносные приложения Android созданы с использованием проекта с открытым исходным кодом LSPatch, который позволяет трояну, получившему название Shibai, внедряться в легитимное ПО.

По оценкам специалистов, в общей сложности около 40 различных приложений, таких как мессенджеры и сканеры QR-кодов, были модифицированы таким образом.

В изученных Dr.Web артефактах, приложение перехватывает процесс обновления приложения для получения APK-файла с подконтрольного злоумышленнику сервера, ищет строки в чатах, которые соответствуют шаблонам адресов криптокошельков Ethereum или Tron.

При нахождении итаковых, заменяются мошенническими адресами для перенаправления транзакций.

Помимо подмены адресов, вредоносная ПО также оснащена возможностями сбора информации об устройстве, переписки в WhatsApp, а также изображений .jpg, .png и .jpeg из папок DCIM, Pictures, Alarms, Downloads, Documents и Screenshots.

Данный функционал обеспечивает сканирование сохраненных файлов на предмет детектирования фраз для восстановления кошелька (т.н. мнемонических фраз), что позволит злоумышленникам получить доступ к кошелькам жертв и слить активы.

Неясно, кто стоит за этой кампанией, однако установлено, что злоумышленники используют около 30 доменов для распространения вредоносных приложений и используют более 60 серверов C2 для управления операцией.

Дальнейший анализ почти двух десятков криптокошельков, используемых злоумышленниками, показал, что за последние два года они получили более 1,6 млн. долл., что свидетельствует о том, что кейс в принципе окупился с лихвой.

У нас с работой так же

Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы:

1. В ПО Apache Roller с открытым исходным кодом на основе Java обнаружена уязвимость максимальной степени серьезности.

Уязвимость отслеживается как CVE-2025-24859 и имеет CVSS 10,0.

Она затрагивает все версии Roller до 6.1.4 включительно и была раскрыта исследователем Хайнингом Мэном.

Уязвимость связана с тем, что активные сеансы пользователей не аннулируются должным образом после смены пароля.

Успешная эксплуатация позволяет злоумышленнику поддерживать постоянный доступ к приложению через старые сеансы даже после смены пароля.

2. SSD Disclosure обнаружила RCE-ошибку в маршрутизаторах Calix Gigacenter.

Устройства выставляют свой интерфейс управления CPE в Интернете на порту TCP 6998 и не обрабатывают должным образом предоставленные входные данные.

Затронутые модели были разработаны третьей стороной под брендом Calix и теперь EoL.

3. Checkmarx изучает недавнюю уязвимость RCE с рейтингом 9,8 (CVE-2025-27520) в BentoML, библиотеке Python для взаимодействия со службами ИИ.

Число затронутых версий намного меньше, чем указано в первоначальном сообщении, но серьезности проблемы не уменьшает: она может позволить злоумышленникам захватить серверы, обрабатывающие полезные нагрузки, связанные с ИИ.

4. Coinspect предупреждает об уязвимостях в кошельках Stellar Freighter, Frontier Wallet и Coin98, которые можно использовать для скрытой кражи средств пользователей.

5. Исследователи Praetorian адаптировали уязвимость, используемую в отношении сред DICOM на базе Windows, для работы в Linux. Cвой PoC они назвали атакой ELFDICOM.

6. Участник Red Team, известный как Vari.sh, представил подробности о Doppelganger, новом методе (и инструменте), предназначенном для клонирования LSASS и извлечения секретов без срабатывания обнаружений на оригинале.

7. Quarkslab опубликовала результаты недавнего аудита безопасности интерпретатора PHP, выявив при этом 17 проблем безопасности.

8. Исследователи Positive Technologies выкатили апрельскую подборку c наиболее опасными уязвимостями, куда вошли 11 проблем в Microsoft, VMware и Apache.

Google внедряет новый механизм безопасности на устройствах Android, который, по всей видимости, будет направлен на противодействие эксфильтрации данных с помощью современных криминалистических инструментов.

Новая функция автоматической перезагрузки была указана в последнем обновлении сервисов Google Play (v25.14) в разделе «Безопасность и конфиденциальность».

Согласно примечаниям к выпуску, благодаря этой функции устройство автоматически перезагрузится, если оно будет заблокировано в течение 3 дней подряд.

В январе 2024 года разработчики GrapheneOS предупредили об уязвимостях прошивки Android, которые криминалисты задействовали для извлечения данных без разрешения пользователя.

При первом запуске телефона Android он переходит в состояние Before First Unlock (BFU), в котором большинство пользовательских данных остаются зашифрованными и недоступными до первой разблокировки устройства.

Как только пользователь разблокирует его с помощью своего PIN-кода или биометрических данных, устройство переходит в состояние After First Unlock (AFU), в котором данные пользователя расшифровываются, что делает их доступными для извлечения или эксфильтрации.

Изъятые или украденные устройства, как правило, уже находятся в состоянии AFU, поэтому даже если экран заблокирован, криминалистические инструменты позволяют извлечь из них, по крайней мере, хоть какие-то пользовательские данные.

Для решения этой проблемы GrapheneOS для устройств Android представила механизм автоматической перезагрузки, который перезапускал систему после 18 часов бездействия, возвращая устройство в состояние BFU.

Google теперь анонсировала по сути ту же функцию в Android, но с немного более демократичным интервалом бездействия нежели, чем в Graphene.

Вместо этого устройство перезагружается после 72 часов, без возможности сократить этот срок.

Предполагается, такой временной интервал все равно должен быть достаточен для блокирования многих атак, предполагающих долгосрочный физический доступ, связанный с проведением уголовных расследований.

🇨🇳Китай обвинил 🇺🇸АНБ США в кибератаках: «названы поимённо, обвиняются публично!»

Китайские власти обвинили АНБ США в организации кибератак на Азиатские зимние игры и КИИ КНР. Согласно сообщению агентства «Синьхуа», инциденты произошли в период проведения Азиатских зимних игр. Пострадали объекты энергетики, связи, транспорта, гидротехнические сооружения и оборонные научно-исследовательские институты в провинции Хэйлунцзян. Они подверглись целенаправленным кибератакам cо стороны APT.

🎯 Цель атак — дестабилизация соревнований, вывод из строя инфраструктуры и хищение разведданных.

Пекин утверждает, что в ходе расследования были установлены личности троих предполагаемых агентов АНБ — Кэтрин А. Уилсон, Роберта Дж. Снеллинга и Стивена У. Джонсона. Их имена фигурируют в списке разыскиваемых лиц, опубликованном 👮полицией города Харбина.

🔻 Февраль 2025 — США обвиняют Китай
🔹 Взлом Минобороны, Госдепа, МИД Индии, Южной Кореи и Индонезии
🔹 Под ударом системы оборонного планирования

🔻 Апрель 2025 — Китай vs США (АНБ)
🔹 Обвинение в «продвинутых» кибератаках во время Азиатских зимних игр
🔹 Названы поимённо 3 агента АНБ
🔹 Упомянуты американские университеты как соучастники
🔹 Цель — критическая инфраструктура, системы Игр и Huawei

*Утверждается, что зафиксировано 270 000 атак на ИТ-системы игр и 50 млн атак на инфраструктуру региона.

По данным китайских специалистов, АНБ использовали арендованные в различных регионах Азии и Европы сервера, дабы усложнить усложнить атрибуцию источника атак. Также отмечается сознательное оставление ложных следов для дезинформации, массовое применение прокси- и бот-инфраструктуры, использование разовых айпишников.

Согласно отчету, опубликованному 3 апреля 2025 года Национальным центром реагирования на компьютерные вирусы Китая (CVERC), в период с 26 января по 14 февраля 2025 года было зафиксировано более 270 000 кибератак на информационные системы, связанные с Азиатскими зимними играми. Из них 63,24% атак (около 170 864) были идентифицированы как исходящие из США.

Использованы сотни техник, включая эксплойты нулевого дня и ИИ-инструменты.

Также в качестве соучастников, по мнению китайской стороны, названы два американских университета — Калифорнийский и Виргинский технологический.

🧐Китайские специалисты утверждают, что в ходе атак были активированы предустановленные бэкдоры в операционных системах 🪟 Microsoft Windows на устройствах, которыми пользовались китайские граждане.

Что ещё интересно?

По данным 🇨🇳360, зафиксирована первая в мире атака, осуществленная с применением 🤖ИИ-агентов, способных автоматически:

❗️ Автономно исследовать цели
❗️ Искать уязвимости
❗️ Писать и исполнять вредоносный код в реальном времени

👆Посольство США в Пекине воздержалось от комментариев. Обнародование подобных сведений отражает попытку Китая симметрично отреагировать на обвинения Вашингтона, регулярно заявляющего о действиях китайских хакеров против американских министерств, оборонных структур и внешнеполитических ведомств. Отсутствие реакции со стороны США оставляет открытым вопрос — как именно Вашингтон ответит на эти серьёзные обвинения?

✋ @Russian_OSINT

Исследователи сообщают о новой тактике китайской APT MirrorFace (Earth Kasha, APT10), которая использует виртуальную среду Windows Sandbox для сокрытия запуска вредоносного ПО на зараженных системах.

Атаки с использованием Windows Sandbox наблюдаются с 2023 года и представляют собой первый известный случай злоупотребления функцией с момента ее выпуска в декабре 2018 года.

Эта функция позволяет пользователям Windows запускать изолированную «песочницу» для временной установки/тестирования приложений, а затем закрывать виртуальную среду, не затрагивая основную ОС и свои данные.

По сути, Sandbox работает как виртуальная машина, но не обладает всеми ее громоздкими функциями: он легче, очень быстр и прост в запуске и эксплуатации.

Злоупотребление этой функцией, на первый взгляд, может показаться неправдоподобным, поскольку поддержка Windows Sandbox по умолчанию отключена, а при запуске Sandbox работает в окне на переднем плане пользователя.

Согласно отчетам ITOCHU и ESET, MirrorFace нашла способ обойти эти ограничения.

Хакеры закрепляются на скомпрометированных сетях, включают Windows Sandbox, перезапускают системы, а затем запускают скрытые экземпляры Windows Sandbox, которые не отображаются на экране.

Это достигается путем запуска Sandbox через планировщик задач под учетной записью, отличной от текущей учетной записи пользователя, поэтому пользовательский интерфейс Sandbox никогда не отображается для вошедшего в систему пользователя.

Операторы MirrorFace помещают вредоносное ПО в папку на зараженных системах, а затем используют файлы конфигурации Windows Sandbox (WSB), чтобы предоставить Sandbox доступ к этой папке, сетевой доступ, а затем настраивают один из вредоносных файлов на автоматический запуск при запуске Sandbox.

Поскольку среды Windows Sandbox не могут запускать Defender, ничего из происходящего внутри не регистрируется и не обнаруживается. Это позволяет злоумышленнику установить вредоносное ПО и открыть скрытый бэкдор внутри этой системы и сети компании-жертвы.

Как отмечает ITOCHU, компании могут стать слепыми к таким атакам, поскольку вредоносное ПО в Windows Sandbox работает в соответствии с конфигурацией файла WSB, может получить доступ к файлам на хост-компьютере.

Однако, поскольку доступ к файлам осуществляется из песочницы, никакая активность не регистрируется инструментами мониторинга, запущенными на хост-системе.

Техника, используемая MirrorFace, по-видимому, является усовершенствованной версией техники, впервые описанной исследователем Ллойдом Дэвисом еще в 2020 году.

Исследователи ITOCHU полагают, что злоупотребления могут эскалировать, поскольку в Windows Sandbox ежегодно добавляются новые функции.

Например, он может совместно использовать буфер обмена, аудио- и видеовход с базовой ОС.

Windows Sandbox теперь также можно запустить с помощью аргументов командной строки в wsb.exe, что устраняет необходимость в файлах конфигурации WSB - артефактах, которые в настоящее время могут использоваться для обнаружения возможных злоупотреблений.

Описанный метод невероятно прост в автоматизации, даже для разработчиков вредоносного ПО низкого и среднего уровня квалификации. После его раскрытия, может быть принят на вооружение других групп, а также банд программ-вымогателей.

Поскольку Windows Sandbox встроена и присутствует во всех системах Windows 10 и Windows 11, а файл приложения подписан самой Microsoft, злоупотреблять им, скорее всего, проще и безопаснее.

ITOCHU представила в отчете рекомендации по мониторингу и IR для обнаружения этой техники.

Morphisec расчехлила новое семейство вредоносных ПО с расширенными возможностями под названием ResolverRAT, которые активно задействуется в атаках на объекты здравоохранения и фармацевтические организации.

ResolverRAT обладает расширенными возможностями выполнения в памяти и многоуровневого уклонения, а также в значительной степени полагается на механизмы разрешения во время выполнения и динамическую обработку ресурсов.

Несмотря на сходство в приманках, использовании двоичного кода и доставке полезной нагрузки с ранее задокументированными фишинговыми кампаниями, доставляющими Rhadamanthys и Lumma RAT, исследователи считают ResolverRAT новым семейством вредоносных ПО.

Соответствие механизмов доставки полезной нагрузки, повторного использования артефактов и тем приманок указывает на возможное совпадение инфраструктуры субъектов угроз, а также потенциальное партнерство или скоординированную деятельность между ними.

Фишинговые письма, распространяющие новое вредоносное ПО, обманом заставляют сотрудников компаний перейти по на ссылке, которая приводит к загрузке и открытию файла, отвечающего за запуск ResolverRAT.

Злоумышленник атакует пользователей во многих странах, отправляя электронные письма на родных языках получателей, включая чешский, хинди, индонезийский, итальянский, португальский и турецкий, часто ссылаясь на юридические расследования или нарушения авторских прав.

Цепочка заражения включает перехват порядка поиска DLL, полагаясь на уязвимый исполняемый файл для загрузки вредоносной DLL, размещенной в его каталоге.

На первом этапе цепочки выполнения загрузчик, использующий несколько методов антианализа, расшифровывает, загружает и запускает вредоносную полезную нагрузку.

Полезная нагрузка ResolverRAT сжимается и защищается с помощью шифрования AES-256, при этом ключи хранятся в виде зашифрованных целых чисел и после расшифровки существуют только в памяти.

Для сохранения вредоносная ПО создает до 20 записей в реестре в нескольких местах и скрывает имена ключей реестра и пути к файлам, а также устанавливает себя в нескольких местах.

ResolverRAT также реализует несколько механизмов для защиты инфраструктуры С2, включая параллельную систему доверия для проверки сертификатов, которая может обойти корневые центры сертификации, создавая закрытую цепочку проверки между имплантом и C2.

Он также реализует сложную систему ротации IP-адресов для резервных вариантов в случае недоступности C2, поддерживая собственный протокол связи C2, но использует стандартные порты для сокрытия в легитимном трафике, организует соединения через случайные интервалы и полагается на ProtoBuf для сериализации данных.

ResolverRAT имеет многопоточную архитектуру для обработки команд, реализует надежную обработку ошибок для предотвращения сбоев, поддерживает возможности постоянного подключения и разбивает большие наборы данных на фрагменты для передачи.

Morphisec отмечает, что в конфигурации С2 были определены поля, которые позволяют ее операторам отслеживать отдельные заражения и упорядочивать их по кампаниям. При этом для каждой жертвы используются специальные токены аутентификации.

Действительно, что же все про Ivanti и Fortinet (у которой помимо уже описанных проблем прибавилась еще одна в виде неизвестной 0-day - и уже продается в киберполье вместе эксплойтом, о чем предупредила ThreatMon).

Исследователи Huntress фиксируют активную эксплуатацию критической уязвимости в ПО Gladinet CentreStack и Triofox, где стандартные криптографические конфигурации позволили осуществить атаки на семь организаций и спровоцировали аномальную активность примерно на 120 конечных точках.

CVE-2025-30406 была добавлена в каталог KEV CISA в начале апреля и имеет оценку серьезности CVSS 9/10.

Она обусловлена жестко запрограммированными криптографическими ключами, встроенными по умолчанию в файлы конфигурации CentreStack и Triofox. В виду неправильной конфигурации серверы стали уязвимы для атак с удаленным выполнением кода.

В этом случае использование ключей по умолчанию позволяет злоумышленнику защиту ASPX ViewState и выполнить код от имени пользователя пула приложений IIS с потенциальным расширением до полного контроля над системой.

Компания заявила, что эксплойты следовали хорошо известному сценарию.

После того, как уязвимый сервер был идентифицирован, злоумышленники запускали тщательно продуманные команды PowerShell для активации уязвимости, что в конечном итоге приводило к RCE.

По данным Huntress, в одном случае им удалось отследить последовательность команд, включающую закодированную директиву PowerShell, предназначенную для загрузки и выполнения DLL, то есть подход, который использовался в недавних атаках на уязвимости CrushFTP.

Согласно телеметрии Shodan, в сети доступно несколько сотен уязвимых серверов, так что риски компрометации все еще высоки, несмотря на доступность и эффективность исправлений.

Так что наблюдаем новую волну атак на цепочку мудаков, преимущественно, из крупного корпоративного сектора.

Индивидуальные приветы им позже передадут Clop или их коллеги по цеху.

Но будем посмотреть.

Легендарная в индустрии ransomware банда Lockbit возрождается вопреки предпринятым в прошлом году международным операциям спецслужб США и Великобритании по нейтрализации инфраструктуры и задержанию ее членов.

Силовикам, безусловно, удалось изрядно потрепать бизнес вымогателей LockBit, которые, из-под санкций, согласно многочисленным сообщениям, смогли официально вернуться в строй.

Новая RaaS теперь отслеживается исследователями как LockBit v4 или LockBit Green и уже обзавелась новыми жертвами.

Конечно, темп еще нет тот, как когда-то был (более 30 выкупов за день), но обороты нарастают, операторы подтягиваются.

Насколько быстро Lockbit выйдет в рабочий ритм, будем посмотреть.

Microsoft официально подтвердила непонятную аномалию, связанную с тем, что обновление безопасности Windows за апрель 2025 года приводят к созданию новой пустой папки с названием inetpub, предупредив пользователей не удалять ее.

Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.

Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.

Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.

Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления не будут установливаются, если каталог C:\inetpub создан до развертывания обновления.

Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.

Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.

Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.

В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.

Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.

Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».

Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.

После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.

Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.

Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.

Fortinet предупреждает, что злоумышленники нашли способ сохранения доступа с правами только для чтения к уязвимым устройствам FortiGate даже после того, как первоначальный вектор доступа, использованный для взлома устройств, был исправлен.

Предполагается, что злоумышленники использовали известные и уже исправленные уязвимости безопасности, включая, помимо прочего, CVE-2022-4247, CVE-2023-27997 и CVE-2024-21762.

Это достигается путем создания символической ссылки, соединяющей файловую систему пользователя и корневую файловую систему в папке, используемой для обслуживания языковых файлов для SSL-VPN.

Fortinet отмечает, что изменения вносились в файловую систему пользователя и им удалось избежать обнаружения, в результате чего символическая ссылка (также известная как симлинк) сохранялась даже после того, как уязвимости первоначального доступа были закрыты.

В свою очередь, это позволило злоумышленникам сохранить доступ только для чтения к файлам в файловой системе устройства, включая конфигурации. При этом клиенты, которые никогда не включали SSL-VPN, не затронуты этой проблемой.

Неясно, кто стоит за этой активностью, но расследование Fortinet показало, что она не была направлена на какой-либо конкретный регион или отрасль. Компания напрямую уведомила клиентов, которых коснулась проблема.

В качестве дополнительных мер по предотвращению повторения подобных проблем был выпущен ряд обновлений ПО FortiOS:

- FortiOS 7.4, 7.2, 7.0 и 6.4: символическая ссылка была помечена как вредоносная, она автоматически удаляется антивирусным ядром.

- FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 и 6.4.16: символическая ссылка была удалена, а пользовательский интерфейс SSL-VPN был изменен для предотвращения обслуживания таких вредоносных ссылок.

Клиентам рекомендуется обновить свои экземпляры FortiOS до версий 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16, проверить конфигурации устройств и рассматривать все конфигурации как потенциально скомпрометированные, выполняя соответствующие шаги по восстановлению.

CISA выпустила собственную рекомендацию с призывом сбросить уязвимые учетные данные и рассмотреть возможность отключения функциональности SSL-VPN до тех пор, пока не будут применены исправления.

Группа реагирования CERT-FR в аналогичном бюллетене заявила, что ей известно о компрометациях, датируемых началом 2023 года.

В watchTowr отметили, что инцидент вызывает беспокойство по двум важным причинам.

Во-первых, в дикой природе эксплуатация становится значительно быстрее, чем организации успевают исправить проблему, и что еще важнее, злоумышленники глубоко осознают этот факт.

Во-вторых, в компании фиксировали, как злоумышленники развертывали бэкдоры после быстрой эксплуатации, разработанные для того, чтобы пережить процессы исправления, обновления и сброса настроек к заводским, чтобы сохранить доступ к скомпрометированным сетям.

При этом в клиентской базе watchTowr были обнаружены случаи внедрения бэкдоров, в том числе в организациях, которые многие бы однозначно назвали критически важной инфраструктурой.

 Rapid7 раскрывает PoC для RCE-уязвимости в устройствах Connect Secure VPN компании Ivanti после известного скандала с «тихим» патчем.

Причем, как стало известно, CVE-2025-22457 уже активно использовалась китайской APT, нацеленной на взлом периферийных сетевых устройств, а публикация кода эксплойта произошла менее чем через неделю после того, как исследователи Mandiant выявили факт эксплуатации.

Хотя проблема была исправлена еще в феврале, Ivanti ошибочно диагностировала ее как «ошибку продукта» (непригодную для RCE) и не присвоила идентификатор CVE с общедоступной документацией.

Только после отчета Mandiant выпустила рекомендацию с о всеми подробностями.

В свою очередь, исследователи Rapid7 предупреждают, что злоумышленники могут использовать несколько тщательно созданных HTTP-заголовков, чтобы превратить уязвимость из обычного сбоя в полномасштабное удаленное выполнение кода.

Согласно анализу Rapid7, уязвимость возникает из-за неконтролируемого переполнения буфера в компоненте веб-сервера HTTP(S) программного обеспечения Ivanti Connect Secure.

Исследователи отследили уязвимость до функции, которая обрабатывает заголовок «X-Forwarded-For», и, манипулируя длиной значения заголовка, они смогли вызвать переполнение, которое перезаписывает ключевые части стека. 

Как они отмечают, это важное напоминание о том, что APT активно занимаются обратной разработкой исправлений поставщиков для высококлассных целей и способны выявлять скрытно исправленные (или иным образом не разглашаемые) уязвимости.

Так, Rapid7 потребовалось всего 4 рабочих дня, чтобы перейти от первоначального сбоя к RCE, а у продвинутых групп есть и время, и ресурсы для для разработки тонких и сложных эксплойтов в отношении высокопоставленных целей.

Уязвимость, имеющая оценку серьезности CVSS 9/10, затрагивает Ivanti Connect Secure версий 22.7R2.5 и более ранние, а также Pulse Connect Secure 9.x, поддержка которой прекращена.

Помимо Ivanti Connect Secure, Ivanti планирует выпустить исправления для Policy Secure и ZTA Gateways.

Хотя исправление Policy Secure запланировано к выпуску 21 апреля, а обновление ZTA Gateways - 19 апреля, ни одна из платформ пока не была атакована. 

Клиентам Ivanti настоятельно рекомендуется безотлагательно обновиться до версии Connect Secure 22.7R2.6 и отказаться от неподдерживаемых устройств Pulse Connect Secure.

Rapid7 присоединилась к Ivanti, рекомендуя организациям проверять устройства на предмет сбоев веб-серверов, которые могут служить полезным указанием на попытку эксплуатации.

Это связано с тем, что эксплойт, вместо подходящей утечки информации для взлома ASLR, должен полагаться на подбор адреса общей библиотеки объектов в процессе веб-сервера, каждая неудачная попытка угадать правильный адрес приведет к сбою и последующему перезапуску.

Не забывайте, что сегодня пятница!

Исследователи Seqrite Labs раскрыли обновленные TTPs пакистанской APT-группы SideCopy по результатам анализа недавней кампании, зафиксированной в декабре 2024 года.

Группа расширила диапазон своего нацеливания: помимо госуправления, обороны, морского сектора и образования в числе объектов заинтересованности хакеров оказались министерства ЖД-транпорта, энергетики и иностранных дел.

Одним из наиболее заметных изменений в недавних кампаниях является переход от использования файлов HTML Application (HTA) к Microsoft Installer (MSI) в цепочке заражения на начальных этапах.

Злоумышленники продолжают совершенствовать способы уклонения от обнаружения, активно задействуя методы боковой загрузки DLL и многоплатформенных вторжений.

Кроме того, была идентифицированановая полезная нагрузка, названная CurlBack RAT, которая регистрирует жертву на сервере C2 через UUID и поддерживает передачу файлов с помощью curl.

Среди других выделенных исследователями особенностей новой кампании:

- Использование скомпрометированных идентификаторов электронной почты сотрудников государственных органов, имеющих опыт работы в сфере кибербезопасности.

- Создание фейкового домена, мимикрирующего под службу электронного правительства с открытым каталогом, который используется для размещения полезных нагрузок и страниц входа в систему для фишинга учетных данных.

- Взлом официального домена Национального гидрологического проекта (NHP) при Министерстве водных ресурсов с целью доставки вредоносных данных.

- Новые тактики, такие как рефлексивная загрузка и расшифровка AES раздела ресурсов через PowerShell, для развертывания пользовательской версии инструмента с открытым исходным кодом на основе C# XenoRAT.

- Модифицированный вариант инструмента с открытым исходным кодом SparkRAT на Golang, ориентированный на платформы Linux, был развернут с помощью того же самого стейджера, который ранее использовался для полезных нагрузок Poseidon и Ares RAT.

- Ранее взломанный образовательный портал, замеченный в августе 2024 года, снова стал активным в феврале 2025 года с новыми URL-адресами, нацеленными на студентов с использованием трех разных тем: «Изменение климата», «Исследовательская работа» и «Профессионал».

- Родительская группа APT36 нацелилась на Афганистан. Недавняя кампания, нацеленная на системы Linux, включает в себя зашифрованные AES/RC4 стейджеры для сброса инструмента MeshAgent RMM.

Технические подробности различных кластеров атак и индикаторы компрометации - в отчете.

Исследователи PRIZM обнаружили уязвимость удаленного выполнения кода в популярных планшетах Ratta SuperNote A6 X2 Nomad на электронных чернилах, которая позволяет удаленным злоумышленникам взломать его прошивку.

Исследование началось сразу после того, как в прошлом году популярный производитель планшетов на электронных чернилах Ratta Software выпустил SuperNote A6 X2 Nomad - 7,8-дюймовый планшет под управлением Android 11.

Взяв один из них в июле 2024 года, ресерчеры PRIZM оперативно приступили к его изучению.

По результатам им удалось объединить уязвимость и несколько неверных конфигураций в удаленно устанавливаемый руткит с 0 щелчками.

По итогу апробировали возможность компрометации злоумышленником из той же сети, что и целевое устройство, без какого-либо взаимодействия с пользователем.

Обнаруженной ошибке был присвоен CVE-2025-32409.

Ratta Software уведомили об проблемах в августе 2024 года, по прошествии 90-дневного срока раскрытия, поставщик ответил, что замылил отчет и запросил дополнительное время.

В октябре разработчики пообещали все исправить, раскрытие отложили до декабря 2024 года, а по состоянию на 8 апреля исследователи PRIZM выкатили подробности всего процесса исследования и технических подробностей уязвимости.

Компании по безопасности, эксперты по открытому исходному коду и ученые предупреждают о новом векторе развития цепочек поставок, который получил наименование slopsquatting.

Название метода представляет собой комбинацию таких терминов, как AI slop и typosquatting.

Речь идет о все более широком использовании инструментов кодирования на основе ИИ для генерации блоков исходного кода, которые в некоторых случаях могут попадать в производственные системы.

В недавней научной работе анализировались 16 моделей кодирования ИИ.

Исследователи обнаружили, что эти инструменты генерируют некачественный код, который часто включает и загружает несуществующие пакеты и библиотеки.

Статистика показывает, что средний процент глючных пакетов составляет не менее 5,2% для коммерческих моделей и 21,7% для моделей с открытым исходным кодом.

При этом внушительные 205 474 уникальных примера выдуманных названий пакетов отчетливо показывает серьезность и распространенность этой угрозы.

Socket Security, специализирующаяся на DevSecOps, утверждает, что такое поведение открывает путь к слопсквотингу - когда злоумышленники изучают LLM, а затем регистрируют вымышленные или потенциально вымышленные имена пакетов.

Атака выглядит нелепой и непрактичной, но таковым был и тайпсквоттинг, когда он был впервые описан много лет назад.

Тем не менее, спустя годы, он стал одним из самых распространенных источников проблем в цепочке поставок в индустрии разработки ПО.

Задействование инструментов кодирования на основе ИИ растет, и вероятность того, что разработчики могут использовать блоки кода, созданные с помощью таких инструментов, также возрастает экспоненциально, как и вероятность успешной атаки методом slopsquatting.

Исследователи Лаборатории Касперского обнаружила новые кампании, предположительно, китайской APT GOFFEE, которую впервые попала в поле зрения еще в 2022 году в связи с нацеливанием на Россию.

С тех пор APT атаковала исключительно организации в РФ, используя целевые фишинговые письма с вредоносными вложениями.

С мая 2022 по середину 2023 года GOFFEE применяла модифицированный зловред Owowa (вредоносный IIS-модуль) в своих атаках, а в 2024 злоумышленники начали распространять модифицированные вредоносные версии explorer.exe с помощью целевого фишинга.

Во второй половине 2024 года она продолжала атаковать организации в России, используя PowerTaskel - непубличный агент для Mythic на PowerShell, а также новый имплант - PowerModul.

Целями атак стали СМИ, телекоммуникационные и строительные компании, а также государственный и энергетический сектора.

Несмотря на применение инструментов и методов, сходных с использованными ранее, в этой кампании GOFFEE внесла несколько существенных изменений.

Группа обновила схемы распространения и впервые использовала документы Word с вредоносными VBA-скриптами для начального заражения.

Вредоносный исполняемый файл, прикрепленный к целевому фишинговому письму, представляет собой модифицированную версию explorer.exe, схожую с той, что использовалась в начале 2024 года, и содержит шелл-код, который сильно напоминает тот, что ранее использовался GOFFEE.

Кроме того, GOFFEE задействовала новый загрузчик PowerShell-скриптов - PowerModul, который отвечал за загрузку зловредов PowerTaskel, FlashFileGrabber и USB Worm.

Также замечено, что хакеры все чаще стала отказываются от использования PowerTaskel в пользу бинарного Mythic-агента при горизонтальном перемещении по сети, вероятно, разработав собственные реализации этого агента на PowerShell и C.

Как полагают в ЛК, GOFFEE продолжает улучшать свои инструменты и внедрять новые, эти изменения не столь значительны, чтобы кампанию можно было принять за действия другой группы.

Технический разбор новых кампаний и арсенала - в отчете.

Исследователи Wordfence в своем отчете констатируют печальную тенденцию по уязвимостям WordPress.

Всего в прошлом году исследователи раскрыли более 8000 уязвимостей WP, из которых более четверти не получили исправлений безопасности.

Примечательно, что только 5 из 8000 проблем, раскрытых в прошлом году, затронули ядро WordPress, что показывает, насколько CMS продвинулась в плане усиления безопасности.

При этом более 96% всех этих ошибок затрагивают плагины, которые сейчас являются угрозой номер один для владельцев сайтов WordPress.

Последний яркий пример - OttoKit (ранее SureTriggers) для WordPress, который согласно статистике, активен на 100 000 веб-сайтов.

OttoKit WordPress позволяет пользователям подключать плагины и внешние инструменты, такие как WooCommerce, Mailchimp и Google Sheets, автоматизировать такие задачи, как отправка писем и добавление пользователей или обновление CRM без кода.

Wordfence получила отчет об уязвимости от исследователя mikemyers в середине марта.

3 апреля ушло уведомление поставщику плагина с полной информацией об эксплуатации, и в тот же день вышло исправление в версии 1.0.79.

Уязвимость возникает из-за отсутствия проверки пустого значения в функции authenticate_user(), которая обрабатывает аутентификацию REST API.

Эксплуатация возможна, если плагин не настроен с использованием ключа API, что приводит к тому, что сохраненный secret_key остается пустым.

Злоумышленник может воспользоваться этим, отправив пустой заголовок st_authorization, чтобы пройти проверку и предоставить несанкционированные доступ к защищенным конечным точкам API.

По сути, CVE-2025-3102 позволяет злоумышленникам создавать новые учетные записи администраторов без аутентификации, что создает высокий риск полного захвата сайта.

9 апреля Wordfence раскрыла уязвимость обхода аутентификации в OttoKit, идентифицированную как CVE-2025-3102, которая затрагивает все версии до 1.0.78.

Однако хакеры быстро приступили к эксплуатации серьезной уязвимости, воспользовавшись задержкой администраторов с обновлением плагина.

Первые попытки были зафиксирвоаны всего через несколько часов после ее обнаружения.

Злоумышленники пытаются создать новые учетные записи админов, используя случайную комбинацию имени пользователя/пароля и адреса электронной почты, что является признаком автоматизации задач.

Так что пользователям настоятельно рекомендуется обновиться до последней версии OttoKit/SureTriggers - 1.0.79 и и проверить журналы на предмет манипуляции с учетными записями администратора, установки плагинов/тем, событий доступа к базе данных и изменения настроек безопасности.

Тихий и интеллигентный отдых редтимов

Пока весь мир обсуждает развязанную Дональдом Трампом торговую войну, американский инфосек больше интересует история с SentinelOne и CISA, которые благодаря Крису Кребсу теперь попали под закаточный станок.

Президент США в среду подписал меморандум о лишении допуска к секретной информации бывшего директора Агентства Кребса, которого он уволил в 2020 году после того, как тот заявил об отсутствии каких-либо технологических проблем в ходе тогдашних президентских выборов.

При этом меморандум предписывает отозвать не только допуск Кребса к секретной информации, но и приостановить действие тех, которые «имеются у лиц в организациях, связанных с Кребсом», включая компанию SentinelOne, где он является главным офицером по разведке и государственной политике.

Согласно бюллетеню Белого дома, директива подразумевает «рассмотрение вопроса о том, соответствуют ли такие допуски национальным интересам».

В июле прошлого года SentinelOne объявила о партнерстве с CISA с целью «улучшения кибербезопасности государственных ИТ-активов и критической инфраструктуры».

На самом деле заявление Трампа нацелено на реализацию комплексной оценки деятельности CISA за предыдущие шесть лет под предлогом «выявления любых случаев, когда поведение Кребса или CISA противоречит приверженности администрации свободе слова и прекращению федеральной цензуры».

По данным Белого дома, CISA и Кребс «подавляли консервативные взгляды под предлогом борьбы с предполагаемой дезинформацией, а также принуждали руководство основных соцсетей к выполнению своей партийной миссии».

Помимо администрации президента США, аналогичную позицию заняли республиканцы в Конгрессе, выразив схожую обеспокоенность тем, что агентство фактически было «оружием» против консерваторов.

Во период выборов 2020 года, на которых Трамп проиграл Джо Байдену, CISA активно работала с онлайн-платформами, пытаясь контролировать распространение ложной информации и дезинформации, от чего отказалась в ходе последнего избирательного сезона.

В принципе, в бюллетене Белого дома откровенно звучат обвинения в фальсификации выборов, утверждая, что Кребс проигнорировал «известные риски, связанные с определенными методами голосования, и безосновательно отрицал фальсификацию выборов 2020, закрывая глаза на серьезные уязвимости электронных электоральный систем и нарушения процедур».

Помимо выборов, Кребсу вменяется участие в кампании по цензурированию новостной ленты в отношении «ноутбука Хантера Байдена».

Трамп уже отозвал допуски к гостайне у группы сотрудников разведки, которые оценили ноутбук как «дезинформационную уловку».

Сnоит отметить, что будучи республиканцем всю жизнь, Кребс также занимал пост директора по политике ИБ в Microsoft и был назначен самим же Трампом директором CISA в момент ее основания в 2018 году.

После ухода из правительства он стал соучредителем консалтинговой компании Krebs-Stamos Group, которая закрылась в 2023 году. Он также работал аналитиком в CBS News и научным сотрудником в Институте Аспена и Центре Белфера при Гарвардском университете.

Кребс публично отверг обвинения в широкомасштабном мошенничестве на выборах 2020 года, назвав их «самыми безопасными в истории Америки», а в SentinelOne не ожидают, что это каким-либо образом существенно повлияет на их бизнес.

Но будем посмотреть.

Подкатили рекомендации по безопасности ICS для уязвимостей в решениях Rockwell, ABB, Siemens и Schneider.

Siemens опубликовала девять новых рекомендаций.

Одна из рекомендаций содержит призыв к клиентам заменить Sentron 7KT PAC1260 Data Manager на более новую модель PAC1261, поскольку первая подвержена критическим уязвимостям, которые позволяют получить доступ к файлам и выполнить произвольный код, но исправлений не планируется.

Критическая уязвимость также была обнаружена в Industrial Edge.

Продукт подвержен слабой проблеме аутентификации, которая позволияет неаутентифицированному удаленному злоумышленнику обойти аутентификацию и выдать себя за законного пользователя.

Siemens также уведомила клиентов о недавно обнаруженных уязвимостях IngressNightmare, затрагивающих ее решение Insights Hub Private Cloud.

Компания также проинформировала клиентов об исправленных проблемах высокой степени серьезности в Sidis Prime и Solid Edge, а также об ошибках средней степени серьезности в Siemens License Server, промышленных устройствах ICMP и Mendix Runtime.

Schneider Electric представила два новых бюллетеня, в одном из которых описываются две уязвимости высокой степени серьезности в ConneXium Network Manager, включая ту, которая может допускать удаленное выполнение кода и DoS-атаки на инженерные рабочие станции.

Вторая рекомендация охватывает три уязвимости средней степени серьезности в Trio Q Licensed Data Radios, которые могут привести к несанкционированному доступу и раскрытию конфиденциальной информации.

Однако для эксплуатации требуется физический доступ.

Rockwell Automation выкатила один информационный бюллетень, информируя клиентов о десятке локальных уязвимостей выполнения кода, влияющих на Arena.

Эксплуатация заключается в том, чтобы обманом заставить целевого пользователя открыть вредоносный файл. 

Кроме того, не так давно ABB анонсировала два новых бюллетеня, в которых описаны десятки уязвимостей, обнаруженных за последние годы в сторонних компонентах, используемых в ее беспроводных шлюзах Arctic. 

Исследователи SentinelOne раскрыли подробности в отношении ИИ-платформы AkiraBot, которая задействуется для рассылки спама в виджетах чатов, разделах комментарий и контактных форм сайтов для продвижения сомнительных SEO-сервисов Akira и ServicewrapGO.

AkiraBot атаковал более 400 000 сайтов и успешно заслал спам по меньшей мере на 80 000 из них, начиная с сентября 2024 года.

При этом бот использует OpenAI для генерации индивидуальных информационных сообщений в зависимости от контента того или иного сайта.

Целями таких кампаний являются веб-сайты малого и среднего бизнеса.

Набирающий популярность инструмент на основе Python способен при этом генерить контент таким образом, чтобы обходить спам-фильтры и CAPTCHA.

Предполагается, что инструмент для массовой рассылки сообщений вошел в активную эксплуатацию как минимум с сентября 2024 года под названием Shopbot, что, по-видимому, является отсылкой к сайтам, использующим Shopify.

Со временем AkiraBot расширил зону охвата, включив в нее сайты, разработанные с использованием GoDaddy, Wix и Squarespace, а также сайты, имеющие общие контактные формы и виджеты чата, созданные с использованием Reamaze.

Суть операции – генерация спам-контента – облегчается за счет использования API OpenAI, который реализует генерацию на основе содержимого сайта.

Инструмент также имеет графический пользовательский интерфейс (GUI) для выбора списка целевых сайтов и динамики размещения контента.

Анализ исходного кода показывает, что клиент OpenAI использует модель gpt-4o-mini и ему отведена роль «полезного помощника, генерирующего маркетинговые сообщения».

Другим примечательным аспектом сервиса является то, что он может обходить CAPTCHA в масштабе и избегать обнаружения на основе сети, полагаясь на прокси-сервис, который обычно предлагается рекламодателям.

Целевые сервисы CAPTCHA включают hCAPTCHA, reCAPTCHA и Cloudflare Turnstile.

Для этого веб-трафик бота имитирует трафик обычного конечного пользователя и использует различные прокси-хосты от SmartProxy, чтобы скрыть его источник.

AkiraBot также настроен на журналирование своих действий (файл с именем submissions.csv), фиксируя как успешные, так и неудачные попытки размещения спама.

Их анализ позволил установить, что на сегодняшний день атаковано более 420 000 уникальных доменов.

Кроме того, показатели успеха, связанные с обходом CAPTCHA и ротацией прокси, собираются и публикуются в канале Telegram через API.

В ответ на полученные данные компания OpenAI отключила API-ключ и другие связанные с ним активы, используемые злоумышленниками.

Как отмечают исследователи, разработчики сервиса вложили серьезные усилия в реализацию решений для обхода широко используемые технологии CAPTCHA, а использование LLM для генерации спама открывает новые угрозы на ландшафте ИИ.

🔐 Безопасность в сети: S.E.Virus Detect v.3.1.

• В сети существует огромное кол-во сервисов и инструментов, которые позволяют нам найти максимум информации о URL-адресе. Одним из таких инструментов является Web-check, функционал которого позволяет нам получить следующее:

➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection, Screenshot и еще кучу всяких разных данных...

• Однако, данный сервис отличается от аналогичных решений тем, что имеет открытый исходных код и бесплатное api, это позволяет нам поднять сервис на своем сервере и интегрировать данное решение в собственные инструменты, что мы и сделали...

• Теперь в S.E. Virus Detect появился дополнительный функционал проверки URL-адреса, благодаря которому мы можем получить готовый отчет от сервиса Web-check и ознакомиться с результатами не выходя из Telegram. Работает все как и всегда: вы направляете ссылку боту - ссылка проверяется через VirusTotal - бот предоставляет вам результат анализа с последующим выбором, использовать web-chek или нет. Если вы нажали на соответствующую кнопку, то вы получите отчет, который содержит все необходимые данные.

• Что имеем в итоге?

➡Полноценный функционал VirusTotal в вашем кармане, который позволяет получить результат анализа файлов, ссылок и ip не выходя из telegram.
➡Дешифратор коротких ссылок. Бот предупредит вас, что ссылка сокращенная и покажет конечный домен, к которому она ведет.
➡Дешифратор QR-кодов: открываете камеру прямо в Telegram, фотографируете код, получаете результат анализа.
➡Функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
➡Формирование полноценного отчета по итогу анализа ссылки, который осуществляется через сервис Web-check.

• В общем и целом, S.E. Virus Detect - это как VirusTotal на стероидах, с дополнительным функционалом и различными фишками. Ну и еще совершенно бесплатный и без рекламы. Пользуйтесь!

S.E. ▪️ infosec.work ▪️ VT

Очередной поставщик ПО для обмена файлами, по всей видимости, отправил своих клиентов в объятия Clop (ну или их коллег).

Как сообщается, хакеры задействовали уязвимость в Gladinet CentreStack в качестве 0-day для взлома серверов хранения данных.

Gladinet CentreStack - это корпоративная платформа для обмена файлами, которая преобразует локальные файловые серверы (например, серверы Windows с общими ресурсами SMB) в безопасные облачные файловые системы с поддержкой удаленного доступа к внутренним общим файлам, многопользовательских развертываний и интеграцию с Active Directory.

Решение Gladinet используют тысячи компаний в 49 странах, включая предприятия с файловыми серверами на базе Windows, MSP, размещающие файловые сервисы для нескольких клиентов, а также организации, которым необходим доступ, аналогичный облачному, без миграции в облако.

Уязвимость отслеживается как CVE-2025-30406 и представляет собой проблему десериализации, затрагивающую версии Gladinet CentreStack до 16.1.10296.56315.

Эксплуатация в естественных условиях наблюдается как минимум с марта 2025 года.

Проблема обусловлена использованием жестко закодированного machineKey в конфигурации портала CentreStack (web.config).

Если злоумышленник заполучит ключ, то сможет создать вредоносную сериализованную полезную нагрузку, которую сервер будет выполнить.

Согласно рекомендациям поставщика, неправильно защищенный ключ защищает ASP.NET ViewState в случае подделки может позволить злоумышленникам обойти проверки целостности, внедрить произвольные сериализованные объекты и в конечном итоге выполнить код на сервере.

Gladinet выпустила исправление для CVE-2025-30406 3 апреля 2025 года с версиями 16.4.10315.56368, 16.3.4763.56357 (Windows) и 15.12.434 (macOS).

Поставщик рекомендует всем пользователям как можно скорее обновиться до последней версии или вручную поменять machineKey в root\web.config и portal\web.config.

Для клиентов, которые не могут оперативно накатить обновление, ротация значений machineKey является рекомендуемым временным решением.

При этом следует обеспечить согласованность между узлами в многосерверных развертываниях и перезапускать IIS после внесения изменений для применения мер по снижению рисков.

Несмотря на то, что пока упоминаний об участии банда вымогателей в новой делюге нет, специфика продукта все же указывает на атаки с целью кражи данных, как это было в случае Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U и Accelion FTA.

Но будем посмотреть.

Fortinet представила исправления для 10 уязвимостей в своих продуктах, включая критическую ошибку в FortiSwitch.

Она отслеживается как CVE-2024-48887 и имеет оценку CVSS 9,3.

Ошибка непроверенной смены пароля в графическом интерфейсе пользователя FortiSwitch позволяет удаленному неаутентифицированному злоумышленнику менять пароли администратора с помощью специально созданного запроса.

Компания утверждает, что отключение доступа HTTP/HTTPS из административных интерфейсов и ограничение числа хостов, которые могут подключаться к системе, должно устранить уязвимость.

Ошибка затрагивает версии FortiSwitch 6.4 - 7.6 и была устранена с выпуском версий 6.4.15, 7.0.11, 7.2.9, 7.4.5 и 7.6.1.

Также были выпущены исправления для CVE-2024-26013 и CVE-2024-50565, двух уязвимостей высокой степени серьезности, которые позволяют неаутентифицированным злоумышленникам выполнять атаки типа MitM.

По факту перехватывать запросы аутентификации FGFM между управляющими и управляемыми устройствами и выдавать себя за управляющее устройство (сервер FortiCloud или FortiManager).

Проблемы, связанные с неправильным ограничением канала связи предполагаемыми конечными точками, затрагивают FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice и FortiWeb.

Fortinet также объявила о закрытии CVE-2024-54024 - серьезной уязвимости внедрения команд ОС в FortiIsolator, которая позволяет аутентифицированному злоумышленнику с привилегиями суперадминистратора и доступом к CLI выполнить произвольный код с помощью специально созданных HTTP-запросов.

Пофиксили также четыры проблемы средней степени серьезности, включая ошибку внедрения команд ОС в FortiIsolator, ошибку логирования в FortiManager и FortiAnalyzer, некорректное управление пользователями на панели виджетов FortiWeb и обход пути в FortiWeb.

Также была устранена ошибка недостаточной защиты учетных данных в FortiOS, а также проблема неправильной нейтрализации ввода во время генерации веб-страницы в FortiClient (обе проблемы имеют низкий уровень серьезности).

Fortinet не сообщает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но принимая во внимание особый интерес киберподполья рекомендуется накатить обновления на устройства как можно скорее.

Дополнительная информация - в разделе рекомендаций PSIRT Fortinet.

Kill Security взяла на себя ответственность за атаки, связанные с эксплуатацией недавней 0-day CrushFTP.

Хакерская группа утверждает, что смогла выкрасть «значительные объемы» данных и теперь угрожает жертвам слить их в ближайшие дни, вымогая выкуп.

Тем временем, исследователи указывают на опасный прецедент.

CrushFTP пыталась аннулировать первоначальный CVE, выпущенный для ошибки (CVE-2024-2825), выпустив новый идентификатор CVE-2025-31161 и внеся определенный хаос в работу решений безопасности, предназначенных для сканирования на предмет уязвимости.

Поставщик выпустил рекомендацию, но намеренно попросила, чтобы CVE не назначалась в течение 90 дней, фактически пытаясь скрыть уязвимость от сообщества ИБ.

Хуже того, MITRE, по всей видимости, также особо не преследовала цель своевременного раскрытия уязвимости, которая активно эксплуатировалась в дикой природе.

Подкатил апрельский PatchTuesday от Microsoft с исправлениями 134 уязвимостей, включая на этот раз скупую единственную 0-day.

В этом пакете обновлений закрыто одиннадцать критических уязвимостей, все из которых связаны с RCE, а в целом по категориям: 49 - EoP, 9 - обхода функций безопасности, 31 - RCE, 17 - раскрытия информации, 14 - DoS и 3 - спуфинга.

Помимо них устранены уязвимости Mariner и 13 - в Microsoft Edge.

Единственной исправленной активно эксплуатируемой 0-day в апрельском PatchTuesday стала CVE-2025-29824 - уязвимость драйвера файловой системы Windows Common Log.

По данным Microsoft, CVE-2025-29824 связана с проблемой использования памяти после освобождения, которая позволяет локальным злоумышленникам с низкими привилегиями получать SYSTEM в атаках низкой сложности, не требующих взаимодействия с пользователем.

Обновления сейчас доступны только для Windows Server и Windows 11, а для Windows 10 Microsoft выйдут позже.

Компания также поделилась подробной информацией о том, что данная уязвимость была использована в качестве нуля бандой вымогателей RansomEXX, которую она отслеживает как Storm-2460.

Обнаружение приписывается Центру анализа угроз Microsoft.

Сначала злоумышленники установили вредоносное ПО PipeMagic backdoor на скомпрометированных системах, которое использовалось для развертывания эксплойта CVE-2025-29824, полезных нагрузок вымогателей и записок о выкупе !_READ_ME_REXX2_!.txt после шифрования файлов.

Целями атак стали организации в сфере информационных технологий и недвижимости в США, финансовый сектор в Венесуэле, испанская компания-разработчик ПО и сектор розничной торговли в Саудовской Аравии.

Как сообщала компания ESET в прошлом месяце, с марта 2023 года PipeMagic также использовался для развертывания эксплойтов, нацеленных на 0-day подсистемы ядра Windows Win32 (CVE-2025-24983).

Обнаруженная Лабораторией Касперского в 2022 году вредоносная ПО способна собирать конфиденциальные данные, обеспечивать полный удаленный доступ к устройствам и позволяет развертывать дополнительные вредоносные нагрузки для горизонтального перемещения.

В 2023 году ЛК обнаружила этот бэкдор при расследовании атак с использованием программы-вымогателя Nokoyawa.

В этих атаках эксплуатировали другой ноль в Windows Common Log File System Driver, уязвимость повышения привилегий, отслеживаемую как CVE-2023-28252.

Полное описание каждой уязвимости и систем, которые она затрагивает, - здесь.

↔️👺 Российские пользователи получают майнер и троянец вместо приложений Microsoft Office

Эксперты 😍 «Лаборатории Касперского» обнаружили, что злоумышленники распространяют майнер и троянец ⚠️ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В 🇷🇺 России с этой вредоносной кампанией столкнулись уже больше 4600 пользователей*.

Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещённый на одном из доменов сайта SourceForge, — sourceforge.io. На нём предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.

Внутри архива содержалось два файла: ещё один архив, защищённый паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищённый паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы.

1️⃣ 💴Майнер, позволявший злоумышленникам использовать мощности заражённого ПК для майнинга криптовалюты.

2️⃣ 🦠 ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось.

Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.

Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на заражённый архив. Злоумышленники в целом всё чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов.
— комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского»

* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» с 1 января по 2 апреля 2025 года.

⬇️ Подробнее тут.

✋ @Russian_OSINT

Исследователи BI.ZONE продолжают отслеживать активность Sapphire Werewolf, которая активно ведет работу над развитием своего арсенала и теперь использует обновленную версию Amethyst Stealer.

Вредоносное ПО злоумышленники по-прежнему доставляют с помощью рассылки фишинговых электронных писем, на этот раз нацеливаясь на компании в сфере ТЭК.

Sapphire Werewolf маскирует вредоносное вложение под служебную записку и отправляет ее жертве от лица отдела кадров.

Письмо содержит архив с названием «Служебная записка.rar», внутри которого находится одноименный исполняемый файл с иконкой PDF-документа.

Программа написана на C# и защищена .NET Reactor.

Данный вредоносный файл является .NET‑загрузчиком, содержащим в себе закодированную Base64 полезную нагрузку, которая представляет собой исполняемый файл формата PE, который представляет собой Amethyst Stealer, также защищенный .NET Reactor.

Как и предыдущие экземпляры, данный образец реализует загрузку из ресурсов в память вспомогательной библиотеки DotNetZip.dll (Ionic’s Zip Library версии 1.16) для упаковки файлов.

Отправляет информацию о системе, содержащую IP‑адрес, строку с информацией о работе в виртуализированной среде, на: hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js.

Также зафиксирован запрос по адресу: wondrous-bluejay-lively.ngrok-free[.]app и обращение для проверки/получения IP: checkip.dyndns[.]org. Из ресурсов Amethyst Stealer также извлекается и открывается отвлекающий PDF-документ.

Новая версия Amethyst позволяет максимально широко проверять, как выполняется код в виртуальной среде, а также применять алгоритм Triple DES для шифрования строк, которые являются аргументами вызываемых функций вредоносной ПО.

Общий функционал Amethyst Stealer включает эксфильтрацию:

- аутентификационных данных из Telegram, Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium и др.,
- файлов конфигурации FileZilla и SSH;
- различные файлы конфигураций удаленных рабочих столов, VPN‑клиентов;
- различные типы документов (в том числе с внешних носителей).

Технический разбор стилера и IoC Sapphire Werewolf - в отчете.

DLS банды вымогателей Everest, по всей видимости, был взломан неизвестными, которые напоследок и отдефейсили, передав привет от чувака из Праги.

С этого времени Everest вовсе прикрыла сайт. При этом никак не комментируя ситуацию.

Пока неизвестно, как был получен доступ к DLS Everest и был ли он взломан, однако исследователи Flare указывают на уязвимость WordPress, которая могла быть задействована в этом деле.

С момента своего появления в 2020 Everest прошла путь от хищения данных с целью вымогательства до полноценной RaaS с шифрованием систем своих жертв.

Кроме того, операторы Everest также выступают в качестве брокеров первоначального доступа для других групп, реализуя доступ к взломанным корпоративным сетям.

За последние 5 лет Everest присовокупила более 230 жертв к своему DLS в рамках атак с двойным вымогательством, одной из последних стал бренд каннабиса STIIIZY.

Учитывая недавние разборки вымогателей, в скором времени Everest сама может оказаться на чьей-либо DLS. Но будем, конечно, посмотреть.

Исследователи Лаборатории Касперского раскрыли сложный инструмент, который APT ToddyCat пыталась задействовать для скрытого запуска в скомпрометированных системах.

Он использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, в которую злоумышленники внесли изменения, расширяющие ее функциональность.

Чтобы скрыть свою активность в зараженных системах, APT-группы прибегают к разным техникам обхода защиты.

Большинство из них хорошо известны и обнаруживаются как EPP-решениями, так и средствами мониторинга и реагирования на угрозы класса EDR.

Одним из вариантов в Windows-системах могут быть руткиты уровня ядра, в частности вредоносные драйверы, но в современных ОС они загружаются только при наличии цифровой подписи Microsoft.

Злоумышленники обходят этот защитный механизм при помощи легитимных драйверов, которые имеют такую подпись, но содержат уязвимые функции, позволяющие выполнять вредоносные действия в контексте ядра.

Средства мониторинга отслеживают такие манипуляции, однако в ToddyCat именно этим и решили воспользоваться, запустив свой инструмент в контексте защитного решения.

В рамках расследования инцидентов с ToddyCat исследователи в на начале прошлого года обнаружили во временной директории на нескольких устройствах 64-разрядную DLL-библиотеку с именем version.dll на C++, которая представляет собой комплексный инструмент под названием TCESB.

Он предназначен для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.

Статический анализ DLL-библиотеки показал, что что для запуска вредоносного кода злоумышленники используют технику проксирования DLL.

Вредоносная DLL экспортирует все функции легитимной DLL, но вместо их реализации перенаправляет вызовы этих функций в оригинальную DLL.

Таким образом, приложение, которое загружает вредоносную библиотеку, продолжит работать без сбоев, при этом в его контексте в фоновом режиме будет выполняться вредоносный код.

Отыскать файл, загружающий инструмент TCESB, удалось не сразу, но благодаря допущенной оператором ошибке исследователи вышли на компонент EPP решения ESET - сканер, запускаемый из командной строки (ESET Command line scanner).

Динамический анализ показал, что он небезопасно загружает системную библиотеку version.dll: сначала проверяет наличие файла в текущей директории, а затем ищет его в системных директориях, что может привести к загрузке вредоносной DLL-библиотеки.

По итогу после уведомления ESET найденной уязвимости был присвоен CVE-2024-11859, а 21 января 2025 года поставщик выпустил обновление, а 4 апреля информация была опубликована в рекомендациях по безопасности.

Изучая функционал TCESB исследователи провели анализ строк, находящихся в его DLL, который показал, что большинство из них принадлежат вредоносному инструменту с открытым исходным кодом EDRSandBlast.

На его основе злоумышленники из APT ToddyCat создали DLL TCESB.

Переработав код, они добились расширения функциональности, добавив возможности, помимо прочего, модификации структуры ядра ОС, чтобы отключить системные уведомления (notification routines).

Технический разбор инструментария и индикаторы компрометации - в отчете.

Нас попросили попиарить новый ТГ-канал, посвященный борьбе с украинскими мошенническими call-центрами. А мы всегда за доброе дело, как известно.

Поэтому вот.

Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.

Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.

Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.

Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.

Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.

В январе Google предоставила исправления OEM-партнерам. 

Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем. 

Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.

Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.

Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.

Исследователи Validin раскрывают потенциальные операционные совпадения между Red Delta и APT41.

Все началось с отчета по анализу вредоносного ПО Mustang Panda/Red Delta, на основе которого была сгенерирована диаграмма IoC (полная картина - здесь), а анализ индикаторов, связанных с ее активностью, позволил выйти на дополнительную инфраструктуру и описанные пересечения APT.

В общем, подробности и техника - отчете. Там все достаточно наглядно раскидано и отражает то, о чем мы давно говорили.

Исследователи Meridian Group отмечают тревожную тенденицию, связанную с задействованием киберподпольем взломанных учетных записей правоохранительных структур и госорганов для реализации экстренных запросов данных (Emergency Data Request) в крупные онлайн-платформы.

Если ранее киберпреступники продавали креды/доступы, то все более сложная и структурированная EDR-as-a-Service теперь поддерживает модель «под ключ», охватывая каждый этап процесса отработки запроса и нацеливаясь на более широкий круг платформ.

Заказчики конфиденциальной информации теперь получают услугу с возможностью непосредственной обработки запроса на платформах и оперативной доставки интересующих данных, всего лишь оплатив требуемую сумму в Bitcoin или Monero согласно прайсу.

В более организованных схемах селлеры предоставляют услугу условного депонирования, удерживая сумму на депозите, пока покупатель не подтвердит действительность полученных данных.

Кроме того, потенциальным покупателям доступны информационные материалы, представленные в виде «подробного руководства» по надлежащему использованию услуг EDR, в том числе отражающих, как правильно заполнять и незаконно отправлять запросы.

Так что даже неопытные операторы с ограниченными навыками взлома могут быстро приобрести необходимые знания для успешной пересылки поддельных EDR.

Отдельно предоставляются инструкции о том, как использовать полученную информацию, чтобы более эффективно нацеливаться на жертв посредством социнженерии и прочих вредоносных кампаний.

В отчете Meridian Group подчеркивается, что наряду с отдельными субъектами потенциальный интерес к теме фиксируется и среди банд вымогателей, что предвещает дальнейшую эволюцию их преступной модели.

Правда, конкретные случаи еще не были задокументированы.

Стремительный рост черного рынка EDR-as-a-Service подчеркивает предприимчивость киберподполья, представители которого смогли выстроить эффективную и устойчивую систему сбора широкого спектра конфиденциальной информации в рамках EDR.

По всей видимости, DragonForce снова наносит удар, на этот раз в отношении конкурентов из RansomHub RaaS, инфраструктура которой некоторое время назад перестала подавать признаки жизни.

Если это подтвердится, то их тоже можно записывать на счет DragonForce вслед за Mamona и BlackLock, о чем мы ранее также сообщали.

Но будем посмотреть.

Исследователи Outpost24 представили продолжение своего отчета в отношении профиля EncryptHub, финансово мотивированной группировки, также известной как Water Gamayun и Larva-0208.

По результатам расследования Outpost24 пришли к выводу, что группировку, по всей видимости, возглавляет украинец из Харькова, который около 10 лет назад сбежал из своего родного и сейчас базируется, предположительно, где-то недалеко от побережья Румынии.

При этом в Microsoft признали, что, вероятнее всего, скрывающийся за личностью EncryptHub обнаружил и сообщил о двух уязвимостях Windows в прошлом месяце, что указывает на карьеру хакера в в сфере ИБ по совместительству с киберпреступностью.

Уязвимости были приписаны SkorikARI with SkorikARI, что является другим именем пользователя, используемым EncryptHub.

Раскрытые CVE-2025-24061 (оценка CVSS: 7,8) и CVE-2025-24071 (оценка CVSS: 6,5) были исправлены в рамках Patch Tuesday в прошлом месяце.

EncryptHub оказался в центре внимания в середине 2024 года в рамках кампании, в которой задействовался поддельный сайт WinRAR для распространения различных видов вредоносного ПО, размещенного в репозитории GitHub под названием encrypthub.

В последние недели злоумышленнику приписывают эксплуатацию 0-day в консоли управления Microsoft (CVE-2025-26633, оценка CVSS: 7.0, также известной как MSC EvilTwin) для доставки стилеров и ранее не документированных бэкдоров под названием SilentPrism и DarkWisp.

По данным PRODAFT, за последние девять месяцев своей работы EncryptHub предположительно скомпрометировал более 618 ценных целей в различных отраслях.

Outpost24 удалось изучить цифровой след EncryptHub, основываясь на «самозаражениях злоумышленников из-за ненадлежащих методов opsec» и выявить новые аспекты по части инфраструктуры и TTPs.

После переезда в неуказанное место недалеко от Румынии фигурант не привлекал к себе внимания и прокачивал свои скилы через онлайн-курсы, и параллельно искал работу в сфере IT.

Однако активность этого злоумышленника резко прекратилась в начале 2022 года, совпав с началом СВО.

При этом Outpost24 полагают, что это было связано с заключением в тюрьму примерно в то же время.

После освобождения хакер возобновил поиски работы, на этот раз предлагая услуги по разработке веб-сайтов и приложений на фрилансе.

После непродолжительных и неудачных попыток участия в программах BugBounty в марте 2024 года переключился на киберпреступность.

проектов стал Fickle Stealer, который был впервые задокументирован Fortinet FortiGuard Labs в июне 2024 года как вредоносное ПО на основе Rust для кражи информации, распространяющееся по нескольким каналам.

В недавнем интервью с исследователем g0njxa злоумышленник заявил, что Fickle «дает результаты в системах, где StealC или Rhadamantys (sic) никогда не сработают» и «обходит высококачественные корпоративные антивирусные системы».

При этом стиллер не только распространяется в частном порядке, но и является «неотъемлемой частью» другого их продукта, получившего название EncryptRAT.

Исследователи же смогли связать Fickle Stealer с псевдонимом, ранее связанным с EncryptHub.

Кроме того, один из доменов, связанных с этой кампанией, соответствует инфраструктуре, использовавшейся в законной фриланс-работе.

Причем EncryptHub широко использовал ChatGPT от OpenAI как для разработки вредоносного ПО, так и повседневных дел (перевода электронных писем и сообщений).

Кейс EncryptHub подчеркивает, что слабая операционная безопасность остается одной из самых критических слабостей для киберпреступников.

Элементарные ошибки - такие как повторное использование паролей, открытая инфраструктура и смешивание личной и преступной деятельности - в конечном итоге привели к его разоблачению.

Продолжаем следить за наиболее тресковыми уязвимостями, коих под накопилось. Вкратце ситуация выглядит следующим образом:

1. Злоумышленники начали сканировать в попытатках эксплуатации серверов Apache Camel с использованием недавно раскрытой CVE-2025-27636. По всей видимости, задействуется свежевыпущенный PoC.

2. Project Discovery опубликовал технические подробности и PoC для недавнего обхода аутентификации CrushFTP, отслеживаемого как CVE-2025-2825. Так что теперь она активно эксплуатируется.

3. Исследователи Endor Labs предупреждают о критической уязвимости в Apache Parquet с рейтингом серьезности 10/10, которая может быть использована для RCE и полной компрометации системы или приложения, импортирующие файлы Parquet.

CVE-2025-30065 описывается как проблема десериализации ненадежных данных и влияет на модуль библиотеки parquet-avro. Закралась с версии 1.8.0 библиотеки и была устранена с выпуском Parquet версии 1.15.1.

По данным Endor Labs, уязвимы все системы, которые считывают или импортируют файлы Parquet через фреймворки больших данных, такие как Hadoop или Spark, а также приложения, включающие код Parquet Java.

Пока нет никаких доказательств того, что уязвимость CVE-2025-30065 эксплуатировалась в реальных условиях, однако ее серьезность позволяет предположить, что злоумышленники вскоре могут добавить ее в свой арсенал.

4. Исследователь Пьер Ким обнаружил десять уязвимостей в коммутаторах Brocade Fiber Channel.

Некоторые из самых серьезных - это две RCE предварительной аутентификации и слабые учетные данные устройства по умолчанию.

При этом поставщик исправил только семь ошибок, а три остались незакрытыми, поскольку затрагивают EoL-устройства.

5. Он же опубликовал отчет о трех уязвимостях в межсетевых экранах Palo Alto Network.

6. Исследователи Tenable помогли исправить уязвимость в платформе Google Cloud, названную ImageRunner, которая задействует взаимосвязи между сервисами Cloud Run, Container Registry и Artifact Registry для переброски частных артефактов клиентов в учетную запись злоумышленника.

7. Microsoft сообщила об уязвимости, которая позволяет вредоносным приложениям запускать код через некоторые драйверы принтера Canon.

8. ERNW обнаружили три уязвимости в агентах VMware Carbon Black Cloud. Все они после этого исправлены.

9. Project Black опубликовала описание unauth RCE в ПО для обмена файлами ZendTo. Проблема была исправлена еще в 2021 году, но публичного CVE до сих пор нет.

10. Исследователь Эван Коннелли обнаружил уязвимость в APIO приложения Verizon Call Filter, которая могла быть использована для утечки данных клиентов Verizon.

11. Searchlight Cyber выкатила технический отчет в отношении уязвимости предварительной аутентификации SQLi в Halo ITSM, программном обеспечении для управления ИТ-поддержкой в облачных средах.

12. Cisco выпустила три рекомендации по безопасности для различных своих продуктов, а Jenkins - обновление для исправления двух уязвимостей в своем основном коде и шести других - в плагинах.

13. Исследователь SafeBreach сообщает об исправлении Google 10 уязвимостей в своей утилите передачи данных Quick Share.

Ошибки были раскрыты в прошлом году на DEFCON и позволяли злоумышленникам легко обмениваться файлами с пользователями без их согласия.

Исследователи Group-IB сообщают об изменениях в деятельности банды вымогателей Hunters International, которая проводит ребрендинг и переходит исключительно к тактике эксфильтрации.

Широко известная в киберподполье банда вымогателей Hunters International реализует с конца 2023 года собственную RaaS, адаптировав в свой арсенал и TTPs банды Hive после того, как последнюю развальцевали силовики в ходе международной операции в январе 2023 года.

Как выяснили исследователи, операторы, вовлеченные в схемы RaaS, тогда после ее ухода стали получать предложения от админов Hunters с тех же учетных записей, что и Hive.

В числе последних значимых достижении на счету банды - атака на крупную индийскую Tata Technologies.

Причем группировка продолжала действовать, несмотря на объявление 17 ноября 2024 года о закрытии из-за снижения рентабельности и нападками спецслужб.

На DLS в Tor группа разместила более 300 жертв, почти половина из которых - в Северной Америке. Хакеры также атаковали более 50 организаций в Европе и два десятка в Азии.

Основной фокус на - госсектор, недвижимость, здравоохранение, финансы и энергетику.

Партнерская панель Hunters позволяет операторам регистрировать жертву, настраивать вредоносное ПО и вести общение с жертвой.

Также предоставляет инструмент Storage Software, который собирает метаданные о файлах, украденных у жертвы, и отправляет их на серверы Hunters.

Партнеры могут установить сумму выкупа с панели, им предоставляется вредоносное ПО для шифрования файлов, совместимое с архитектурами x64, x86 и ARM и работающее на Windows и Linux.

Если жертва платит, оператор получает 80% от выручки.

Group-IB отмечает, что последняя версия программы-вымогателя больше не оставляет записку с требованием выкупа и не переименовывает зашифрованные файлы.

Начиная с августа 2024 года группа предпочитает напрямую связываться с руководством и ключевыми сотрудниками компании-жертвы, не раскрывая инцидент и повышая тем самым шансы на одобрение выплаты выкупа.

Hunters сотрудничает со сторонним подрядчиком, который оказывает им услуги OSINT для сбора информации о сотрудниках атакованной компании, которая затем используется для вымогательства.

На основании внутренних заметок операторов RaaS, исследователи пришли к выводу, что банда планирует отказаться от шифрования файлов, поскольку это становится слишком рискованным и не приносит соответствующей прибыли.

Начиная с января 2025 года они запустили новый проект под названием World Leaks.

Вместо проведения двойного вымогательства схема переориентирована на атаки, направленные исключительно на эксфильтрацию.

Операторам будет предоставляться инструмент для автоматизированной кражи данных (вероятно доработанный Storage Software), который будет полностью незаметен и сможет устанавливать сетевые соединения через прокси-сервер, например.

В Group-IB полагают, что большинство групп вымогателей, вероятно, перейдут к той же тактике в будущем, полагаясь исключительно на эксфильтрацию.

Исследователи Palo Alto Networks отследили истоки каскадной атаки на цепочку поставок GitHub Actions, которая произошла в марте 2025 года.

Артефакты указывают на то, персональный токен доступа (PAT) SpotBugs, скомпрометированный в декабре 2024 года, лег в основу наблюдавшегося масштабного инцидента.

14 марта код GitHub tj-actions/changed-files был изменен для выполнения вредоносного кода, который сбрасывал секреты CI/CD для создания журналов, вероятно, в целях подготовки дальнейших атак.

Неделю спустя исследователи обнаружили, что изначально злоумышленники сосредоточились на эксплуатации проекта Coinbase с открытым исходным кодом.

Однако после неудачи они расширили атаку, нацелившись на все проекты, полагающиеся на скомпрометированную Actions.

Согласно дереву зависимостей примерно 160 000 проектов используют Actions напрямую или косвенно. Однако только 218 репозиториев раскрыли секреты в результате этой атаки на цепочку поставок.

На этой неделе Palo Alto Networks выкатила обновленную информацию по результатам своего расследования первопричин атаки, в которой все началось со взлома PAT в декабре прошлого года.

PAT принадлежал разработчику SpotBugs и был добавлен в конце ноября в рабочий процесс spotbugs/sonar-findbugs.

Токен был украден злоумышленником 6 декабря с помощью вредоносного запроса на извлечение, отправленного на spotbugs/sonar-findbugs для использования рабочего процесса GitHub Actions посредством триггера pull_request_target (который позволяет рабочим процессам, запускаемым из форков, получать доступ к секретам).

11 марта злоумышленники использовали PAT, чтобы пригласить злонамеренного пользователя по имени jurkaofavak в репозиторий spotbugs/spotobugs в качестве участника, что предоставило им доступ на запись.

Две минуты спустя пользователь отправил вредоносный файл рабочего процесса GitHub Actions в репозиторий, создав вредоносный рабочий процесс, который раскрыл все секреты Spotbugs/Spotbugs, включая секреты специалиста по обслуживанию Reviewdog, имеющего доступ к репозиториям SpotBugs и Reviewdog.

Рабочий процесс шифровал все доступные секреты с помощью AES и симметричный ключ с использованием жестко закодированного открытого ключа RSA, что ограничивало доступность утечек.

11 марта злоумышленник использовал утекший PAT разработчика Reviewdog, который имел разрешения на отправку тегов в репозиторий reviewdog/action-setup, чтобы переопределить тег v1 репозитория и указать на вредоносный коммит, что повлияло на всех потребителей тега.

Это привело к компрометации действия tj-actions/eslint-changed-files, которое использовало reviewdog/action-setup в качестве зависимости, что впоследствии привело к компрометации GitHub tj-actions/changed-files.

12 марта, через пять дней после того, как специалист по обслуживанию Coinbase создал рабочий процесс в coinbase/agentkit, который зависел от tj-actions/changed-files, злоумышленник подготовил атаку, создав форки tj-actions/changed-files и несколько репозиториев Coinbase.

14 марта Coinbase выполнила вредоносную версию действия GitHub tj-actions/changed-files, что привело к раскрытию токена с правами на запись.

Уязвимый рабочий процесс coinbase/agentkit был удален полтора часа спустя, но злоумышленник отправил еще один вредоносный коммит в tj-actions/changed-files, заменив все теги вредоносными коммитами.

С этого момента злоумышленник повлиял на каждый запуск рабочего процесса GitHub, зависящий от действия tj-actions/changed-files.

Новая коричневая полоса в жизни клиентов Ivanti связана с критической уязвимостью Connect Secure, которая позволяет удаленно выполнять код и активно эксплуатируется китайской APT как минимум с середины марта 2025 года.

CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.

Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.

При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.

Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.

При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.

Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.

Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.

UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.

Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.

Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.

По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.

В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.

Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.

Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.

Впрочем, такими темпами и обходы для последней версии скоро назреют.

Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.

📂 WinRAR снова под ударом 🥷 хакеров

Эксперты обнаружили критическую уязвимость в WinRAR (CVE-2025-31334), которая позволяет обойти механизм защиты Windows Mark of the Web (MotW) и выполнить вредоносный код на Windows без предупреждения. Несмотря на среднюю оценку по CVSS (6.8), уязвимость может иметь высокий риск эксплуатации в реальной среде из-за широкого распространения WinRAR и обхода встроенной защиты Windows.

Сценарий атаки предельно прост. Пользователь загружает на первый взгляд безвредный архив. Внутри, наряду с легитимными файлами, размещена символическая ссылка, замаскированная под обычный документ или исполняемый файл. Открытие этой ссылки активирует вредоносное ПО без каких-либо признаков опасности.

📖 Вектор атаки: посещение сайта с вредоносным архивом;

🦠 Доставка малвари: пока подтверждённых атак нет, но аналогичная уязвимость (CVE-2023-38831) использовалась для распространения DarkMe и Agent Tesla.

⛔️⚠️ Уязвимость не эксплуатируется массово, но угроза критична для систем с неправильно настроенными политиками безопасности.

🔧Что делать?

✅ Обновить WinRAR до версии 7.11 или выше;
✅ Запретить создание символьных ссылок обычным пользователям;
✅ Не открывать и не распаковывать подозрительные архивы из Интернета.

💡 Уязвимость найдена экспертом Тайхэй Симаминэ из 🇯🇵Mitsui Bussan Secure Directions и подтверждена JPCERT/CC. Это уже второй MotW-обход за год, после аналогичной уязвимости в 7-Zip (CVE-2025-0411).

Примечательно то, что это уже второй случай обхода MotW за год, после обнаружения уязвимости в 7-Zip (CVE-2025-0411).

👆WinRAR используется более чем 500 миллионами пользователей по всему миру.

✋ @Russian_OSINT

Исследователи F6 выявили уникальные артефакты, позволяющие связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.

В марте этого года Seqrite Labs сообщала об обнаружении кампании кибершпиоанажа, получившей название Operation HollowQuill. Атаки были нацелены на российские промышленные предприятия.

По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета ВОЕНМЕХ.

Причем впервые эту активность обнаружили исследователи Positive Technologies в конце 2024 года, а дополнительный анализ позволил специалистам F6 установить пересечения с деятельностью группы FakeTicketer.

Злоумышленники действуют как минимум с июня 2024 года, основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы и спортивные функционеры.

Анализ вредоносных ПО и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.

При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer:

- оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#;

- используют одинаковые названия иконок (faylyk);

- схожее именование файлов и классов.

- файлы для дроппера и иконка хранятся в ресурсах, дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite;

- код для создания ярлыков практически идентичен;

- в обоих случаях файлы OneDrive*.exe и OneDrive*.lnk используются для сокрытия активности.

Исследователи F6 обнаружили еще одно весомое совпадение между HollowQuill и группой FakeTicketer.

В свое время, группа FakeTicketer зарегистрировала несĸольĸо доменов, используя одни и те же регистрационные данные.

Один из них - phpsymfony[.]info, при этом в ĸампании HollowQuill использовался созвучный домен - phpsymfony[.]com в ĸачестве C2-сервера для Cobalt Strike.

Таким образом, по мнению эĸспертов F6, найденные доĸазательства позволяют со средней уверенностью приписать кампанию, именуемую HollowQuill, группе FakeTicketer.

Исследователи Trend Micro расчехлили новую связанную с Китаем группу угроз под названием Earth Alux, которая нацелена на различные ключевые сектора, включая госуправление, технологии, логистику, производство, телекоммуникации, ИТ и ритейл в Азиатско-Тихоокеанском регионе и Латинской Америке.

Впервые активность была замечена во втором квартале 2023 года в Азии, а примерно с середины 2024 года Earth Alux также была замечена в Латинской Америке. Основной фокус на таких странах, как Таиланд, Филиппины, Малайзия, Тайвань и Бразилия.

Цепочки заражения начинаются с эксплуатации уязвимых сервисов в веб-приложениях, доступных через Интернет, с их помощью внедряется оболочка Godzilla для облегчения развертывания дополнительных полезных нагрузок, в том числе бэкдоров VARGEIT и COBEACON (Cobalt Strike Beacon).

VARGEIT реализует возможность загрузки инструментов непосредственно со своего сервера С2 в недавно созданный процесс Microsoft Paint (mspaint.exe) для проведения разведки, сбора и эксфильтрации.

VARGEIT также является основным методом, с помощью которого Earth Alux управляет дополнительными инструментами под различные задачи и боковое перемещение.

При этом он используется как бэкдор первой, второй или более поздней стадии, а COBEACON - как бэкдор первой стадии. Последний запускается с помощью загрузчика MASQLOADER или через RSBINJECT, загрузчик командной строки на основе Rust.

В последних версиях MASQLOADER была отмечена реализация техники перехвата API, позволяющая вредоносному ПО и встроенной в него полезной нагрузке оставаться незамеченными.

Выполнение VARGEIT приводит к развертыванию большего количества инструментов, включая компонент загрузчика RAILLOAD, который выполняется с использованием техники, известной как сторонняя загрузка DLL, и используется для запуска зашифрованной полезной нагрузки в другой папке.

Вторая полезная нагрузка - RAILSETTER, который изменяет временные метки, связанные с артефактами RAILLOAD на скомпрометированном хосте, а также создает запланированную задачу для запуска RAILLOAD.

Как отмечают исследователи, MASQLOADER используется и другими группами, помимо Earth Alux. Кроме того, разница в структуре кода MASQLOADER по сравнению с RAILSETTER и RAILLOAD предполагает, что его разработка ведется отдельно от этих инструментов.

Наиболее отличительной особенностью VARGEIT является его способность поддерживать 10 различных каналов для связи с C2 по протоколам HTTP, TCP, UDP, ICMP, DNS и Microsoft Outlook, последний из которых использует API Graph для обмена командами в заранее определенном формате с использованием папки черновиков почтового ящика, управляемого злоумышленником.

В частности, сообщение от сервера C2 начинается с r_, а сообщения от бэкдора — с p_. Среди его широкого спектра функций - обширный сбор данных и выполнение команд, что делает его мощным вредоносным ПО в арсенале злоумышленников.

Earth Alux осуществляет несколько тестов с RAILLOAD и RAILSETTER, включая обнаружения и попытки найти новые хосты для боковой загрузки DLL.

Задействуют ZeroEye, инструмент с открытым исходным кодом для сканирования таблиц импорта EXE-файлов на предмет импортированных DLL, которые могут быть использованы для боковой загрузки.

Также хакерская группа использует VirTest - еще один инструмент тестирования, широко используемый китайскоязычным сообществом.

Earth Alux представляет собой сложную и развивающуюся APT-угрозу, использующую разнообразный инструментарий и передовые методы для нацеливание на ключевые сектора в Азиатско-Тихоокеанском регионе и Латинской Америке, постоянно совершенствуя свои возможности.

Исследователи из Лаборатории Касперского обнаружили новые каналы распространения загрузчика TookPS, которые ранее попадал в поле зрения ресерчеров в рамках исследования, посвященного нескольким вредоносным кампаниям с приманками под DeepSeek.

Изучая телеметрию, в ЛК заметили, что один из описанных зловредов - загрузчик TookPS, мимикрирует не только под популярную нейросеть.

В частности, были найдены фейковые сайты, имитирующие официальные ресурсы различного ПО для удаленного доступа и 3D-моделирования, а также страницы, предлагающие бесплатно его загрузить.

При этом фигурирующие UltraViewer, AutoCAD и SketchUp часто используются в бизнесе, так что потенциальными жертвами этой кампании могут быть как частные пользователи, так и организации.

Помимо вредоносных сайтов в телеметрии засветились имена детектируемых файлов: Ableton.exe и QuickenApp.exe.

Ableton - это ПО для написания музыки, звукозаписи, микширования и сведения треков и т.д., Quicken - приложение для управления финансами и счетами.

Цепочка заражения аналогична той, что описывалась в статье про атаки, использующие DeepSeek в качестве приманки.

Попав на устройство жертвы, загрузчик связывается с C2, домен которого содержится в его коде, чтобы получить PowerShell-скрипт.

Причем разные образцы вредоноса обращаются к разным доменам, откуда получает команды, закодированные в base64.

Разные образцы команды содержат разные URL-адреса, однако в остальном они идентичны. Они последовательно скачивают с указанного URL три PowerShell-скрипта и запускают их.

Первый из обнаруженных скриптов выкачивает с С2 файл sshd.exe, конфигурацию для него (файл config) и файл с ключом RSA.

Второй получает параметры командной строки для запуска sshd: адрес удаленного сервера, порт и имя пользователя - после чего запускает sshd.

Запускается сервер SSH, который устанавливает туннель между зараженным устройством и удаленным сервером. Для аутентификации используется скачанный ранее ключ RSA, а конфигурация сервера берется из файла config.

Туннель позволяет злоумышленнику получать доступ к системе и выполнять произвольные команды в ней, а третий скрипт, в свою очередь, пытается скачать на компьютер жертвы модификацию известного бэкдора Backdoor.Win32.TeviRat.

Изученный вариант устанавливает на зараженное устройство ПО для удаленного доступа TeamViewer, которое изменяет при помощи метода DLL side-loading. В исследуемой кампании в качестве C2 использовался домен invoicingtools[.]com.

Помимо этого, на зараженное устройство загружается бэкдор Backdoor.Win32.Lapmon. Он использует домен twomg[.]xyz в качестве C2.

Таким образом, злоумышленники получают полный доступ к компьютеру жертвы несколькими разными способами.

Изучая структуру доменов, к которым обращаются вредоносные скрипты и программы в этой атаке, исследователи вышли и на другие, полагая с высокой вероятностью, что TookPS, Lapmon и TeviRat - не первые в арсенале этих злоумышленников.

В целом, атаки с использованием DeepSeek в качестве приманки в случае TookPS оказались лишь вершиной айсберга - более масштабной кампании, нацеленной как на домашних пользователей, так и на организации.

Индикаторы компрометации - в отчете.

🗞 Paged Out #6.

• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).

• Так вот, вчера был опубликован 6-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)

S.E. ▪️ infosec.work ▪️ VT

Исследователи Лаборатории Касперского задетектили модифицированную версию троянца Triada, которая внедрялась в прошивки совсем новых Android-устройств - подделки под разные популярные модели смартфонов.

Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.

Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.

Причем эта статистика охватывает период с 13 по 27 марта 2025 года.

Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.

Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:

- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;

- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;

- кражу крипты через подмену адреса кошельков в нужных приложениях;

- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;

- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;

- загрузку и запуск других программ на заражённом смартфоне;

- блокировку сетевых соединений.

Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.

Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.

Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.

Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.

При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.

В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.

Исследователи из F6 предупреждают о новых атаках на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate, которые они относят к числу самых опасных киберугроз на этот год.

Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт.

По данным телеметрии F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.

Для передачи преступникам контроля над смартфоном достаточно неосторожно установить приложение, замаскированное под безобидную на первый взгляд программу.

Через мессенджеры WhatsApp и Telegram злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения.

Специалисты в ходе исследования обнаружили более 140 уникальных образцов CraxsRAT.

Так злоумышленники получают полный доступ к банковским приложениям, возможность перехватывать уведомления и коды, обналичивать похищенные деньги.

Основной вектор распространения CraxsRAT - классическая социнженерия, но уже без телефонного разговора.

В начале 2025 года для доставки NFCGate на устройства пользователей злоумышленники предпочитали использовать телефонные звонки и сообщения в мессенджерах. 

Сейчас злоумышленники всё чаще выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей.

CraxsRAT – это многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote.

Проникает на мобильные устройства под видом легитимных приложений и обновлений.

После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя.

В феврале 2025-го число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрем 2024-го, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 тыс.

В свою очередь, NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО.

При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета в банкомате.

Как отмечают исследователи, сумма ущерба от атак с использованием NFCGate за первые два месяца 2025-го - 200 млн рублей.

Число скомпрометированных Android-устройств с вредоносными версиями NFCGate по итогам февраля превысило 158 тыс. и продолжает расти.

Рекомендации для пользователей и подразделений ИБ в банковских структурах - в отчете.

Тайваньский производитель сетевого оборудования DrayTek поделился некоторыми разъяснениями относительно недавних перезагрузок маршрутизаторов, о которых сообщfли клиенты по всему миру, но некоторые вопросы остаются без ответа.

В конце марта пользователи маршрутизаторов DrayTek в Великобритании, Австралии и других странах столкнулись с массовыми перегрузками своих устройств, что приводило к проблемам с подключением.

Когда появились первые отчеты, поставщик предположил, что может быть задействована эксплуатация уязвимости, но не поделился никакой информацией о том, какой именно недостаток мог быть причиной проблем.

В ответ на растущее число жалоб DrayTek опубликовала второе информационное сообщение, в котором пояснила, что инциденты, по всей видимости, в основном затрагивают старые модели маршрутизаторов с устаревшей прошивкой. 

Расследование показало, что маршрутизаторы DrayTek подвергались повторным, подозрительным и потенциально вредоносным попыткам подключения TCP, исходящим от IP-адресов с известной негативной репутацией.

Замеченные попытки могли привести к перезагрузке маршрутизатора на необновленных устройствах, если на этих устройствах включен SSL VPN или включено удаленное управление без защиты списка контроля доступа (ACL).

Компания перечислила несколько моделей маршрутизаторов Vigor, которые, по-видимому, были затронуты, но отметила, что обновления прошивки, выпущенные для них в 2020 году, должны исправить «проблему», эксплуатация которой в реальных условиях наблюдается сейчас впервые. 

Однако до сих пор остается непонятным, какая именно уязвимость (или уязвимости) была задействована.

Кроме того, неясно, какова цель злоумышленников и являются ли перезагрузки устройств запланированным результатом или следствием неудачных попыток эксплуатации.

Причем 26 марта в социальной сети X компания DrayTek заявила, что проблема, по всей видимости, связана с уязвимостью, обнаруженной в начале марта, но и тогда не уточнила, с какой именно.

В начале марта поставщик опубликовал два бюллетеня безопасности: один описывает полдюжины уязвимостей маршрутизатора Vigor, допускающих DoS-атаки, раскрытие информации и выполнение кода, а второй - две уязвимости выполнения кода.

В обоих бюллетенях компания указала, что исправления прошивки, устраняющие эти недостатки, доступны с осени 2024 года.

В свою очередь, GreyNoise наблюдала, что в последние дни в отношении маршрутизаторов DrayTek использовались три уязвимости, включая CVE-2020-8515, CVE-2021-20123 и CVE-2021-20124, но компания не смогла подтвердить, была ли какая-либо из них замешана в недавних атаках.

Так что будем следить.

GreyNoise предупреждает о скоординированной кампании, нацеленной на поиск потенциально уязвимых экземпляров Palo Alto Networks GlobalProtect, вероятно, в целях подготовки к целенаправленной эксплуатации.

За последний месяц зафиксировано более 24 000 попыток доступа к порталам GlobalProtect с уникальных IP-адресов, что свидетельствует о скоординированных усилиях со стороны киберподполья.

Начиная с 17 марта активность значительно возросла: ежедневно детектировалось около 20 000 уникальных IP-адресов, выполняющих сканирование входов в систему с помощью GlobalProtect, и оставалась высокой до 26 марта.

GreyNoise поясняет, что около 23 000 IP-адресов, задействованных в этой деятельности, классифицируются как подозрительные, а небольшая подгруппа из 150 IP-адресов считается вредоносной.

По данным компании, скоординированные усилия, вероятно, направлены на проверку сетевой защиты перед запланированными попытками эксплуатации уязвимостей.

За последние 18–24 месяца исследователи наблюдали последовательную закономерность преднамеренного использования старых уязвимостей или давно известных схем атак и разведки в отношении определенных решений.

Причем часто это совпадают с новыми уязвимостями, появляющимися через 2–4 недели.

Большинство атак исходят из США, где базируются более 16 000 выявленных IP-адресов. Канада на втором месте с более чем 5 800 IP-адресами.

Сканирование в основном нацелено на США, небольшой процент сканирований нацелен на Великобританию, Ирландию, Россию и Сингапур.

GreyNoise также отмечает, что более 20 000 выявленных IP-адресов связаны с 3xK Tech GmbH под ASN200373. Другие связаны с Fast Servers Pty Ltd., Oy Crea Nova Hosting Solution Ltd и PureVoltage Hosting Inc.

Помимо порталов GlobalProtect, сканирования также затронули и другие устройства, работающие под управлением PAN-OS, включая Crawler.

По мнению ресерчеров, наблюдаемые попытки имеют сходство с активностью в отношении Cisco в апреле прошлого года, когда было замечено, что злоумышленники нацелились на устройства Cisco, серверы Microsoft Exchange и периферийные устройства других поставщиков.

Учитывая необычный характер детектируемых сканирований, организациям, чьи системы Palo Alto Networks подверглись атаке, следует просмотреть журналы за март для детального поиска угроз в работающих системах и выявления любых признаков компрометации.

Apple выпустила обновления с исправлениями для активно эксплуатируемых уязвимостей, использовавшихся в качестве 0-day для более старых версий операционных систем.

Кроме того, исправления подкатили и для многочисленных проблем безопасности в последних стабильных версиях iOS, iPadOS и macOS.

Первый бэкпорт касается CVE-2025-24200, обнаруженной Citizen Lab, которая задействовалась в решениях для мобильной криминалистики и приводила к деактивации «ограниченного режима USB» на заблокированных устройствах.

Apple устранила уязвимость в iOS 18.3.1, iPadOS 18.3.1 и 17.7.5, выпущенных 10 февраля 2025 года.

Вторая уязвимость, портированная на более старые версии ОС, - CVE-2025-24201, которая позволяла хакерам выходить за рамки «песочницы» на движке WebKit с помощью специально созданного веб-контента.

Apple предупредила, что уязвимость использовалась в чрезвычайно сложных» атаках, и устранила ее 11 марта 2025 года с выпуском iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.

Поставщик уже включил исправления для CVE-2025-24200 и CVE-2025-24201 в iOS 16.7.11 и 15.8.4, а также iPadOS версий 16.7.11 и 15.8.4.

Третья уязвимость, исправленная на старых устройствах, - CVE-2025-24085, связана с проблемой повышения привилегий в фреймворке Core Media компании Apple.

Компания устранила проблему в конце января 2025 года, выпустив iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3.

Теперь исправления для CVE-2025-24085 стали доступны в iPadOS 17.7.6 и macOS версий 14.7.5 (Sonoma) и 13.7.5 (Ventura).

Помимо бэкпортов, Apple также выпустила обновления безопасности для последних стабильных версий своих ОС и ПО, включая Safari и Xcode.

В частности, последнее обновление для iOS 18.4 и iPadOS 18.4 устраняет 77 уязвимостей, в том числе CVE-2025-30456 (обход изолированной среды приложения, позволяющий повысить привилегии до root), CVE-2025-24097 (произвольный доступ к метаданным файла) и CVE-2025-31182 (произвольное удаление файла).

В macOS Sequoia 15.4 Apple устранила 123 уязвимости, включая CVE-2025-24228 (произвольное выполнение кода с привилегиями ядра), CVE-2025-24267 (повышение привилегий до root) и CVE-2025-24178 (выход из песочницы).

В последней версии Safari 18.4 Apple закрыла 13 уязвимостей, включая CVE-2025-24213 (повреждение памяти WebKit), CVE-2025-30427 (использование WebKit после освобождения памяти) и CVE-2025-24180 (путаница с учетными данными WebAuthn).

Несмотря на то, что в представленных бюллетенях не упоминается об эксплуатации уязвимостей, пользователям следует как можно скорее установить обновления для нейтрализации потенциальных атак.

Западные инфосек-журналисты рассматривают очередной отчет Recorded Future

В новом отчете Paradigm подробно рассматривается экосистема APT-подполья Северной Кореи, в которой помимо нашумевшей Lazarus Group перечислены и ряд иных субъектов угроз, нацеленных на организации и частных лиц за рубежом.

Поводом стало ограбление Bybit на рекордную сумму в более 1,4 млрд долларов США после фактической компрометации инфраструктуры Safe{Wallet}, что буквально, по мнению авторов, разорвало парадигму существующих моделей угроз.

Первые две рассмотренные в отчете группы - Contagious Interview и Wagemole - идентифицированы как реализующие схему «найма ИТ-сотрудников».

Например, Contagious Interview выдает себя за рекрутеров известных компаний и заманивают разработчиков на фейковые собеседования, обманом при этом заставляя их загружать вредоносное ПО, которое способно красть широкий спектр данных, включая криптоактивы.

Хакеры из Wagemole, наоборот, стремятся получить должность в иностранных компаниях, а вместе с ней и доступ к системам жертвы для кражи активов компании. В некоторых случаях инсайдерам удавалось оставалось внедряться в организации на срок до года, прежде чем предпринимать активные действия.

Другой отмеченной группой является AppleJeus, которая, в первую очередь, сфокусирована на распространении вредоносного ПО, иммигрируя под легальное, в том числе трейдинговые приложения или криптоутилиты. APT заточена под атаки на цепочки поставок.

В свою очередь, Dangerous Password фокусируется на низкоуровневых атаках на основе социнженерии в криптоиндустрии. Эти хакеры все еще рассылают фишинговые письма, но также эволюционировали и задействуют теперь и другие платформы, прежде всего - Telegram.

TraderTraitor - последняя в представленном списке APT, которая описывается как «самая изощренная группа угроз, нацеленная на криптовалютную индустрию».

Хакеры в качестве основных целей таргетируются на криптобиржи и другие компании с крупными активами, используя в отношении своих жертв высокотехнологичные методы целевого фишинга.

Так, в случае взлома Axie Infinity TraderTraitor связался со старшим инженером через LinkedIn и успешно убедил его пройти серию интервью, прежде чем отправить «предложение» с вредоносным ПО под капотом.

Постарались описать общими словами, однако в статье представлено достаточно много разбора конкретных инцидентов со ссылками на детализированные отчеты.

Вообще, подобная сводная аналитика по APT встречается редко, так что настоятельно рекомендуем ознакомиться с материалом.

Исследователи Solar сообщают об обнаружении нового вредоносного ПО в арсенале проукраинской группы кибершпионажа Shedding Zmiy, включающей бывших участников группировки Cobalt.

В ноябре 2024 года к Соларам обратилась ИТ-компания для оказания помощи в расследовании инцидента, поводом к которому стали задетектированные обращения к С2, относящимся к Shedding Zmiy.

Причем, как оказалось, злоумышленники находились в инфраструктуре более полутора лет и намеревались там оставаться еще долго.

В результате анализа Linux-систем исследователям удалось обнаружить как известное вредоносное ПО, характерное для группировки, так и новые образцы руткита Puma, который в декабре заметила Elastic Security Labs.

На некоторых системах злоумышленники даже обновляли руткит Puma, и если Elastic никак не атрибутировала руткит, то Солары уверены в принадлежности нового инструмента к Shedding Zmiy, который задействовал его совместно с другими их характерными инструментами.

Новое вредоносное ПО включало четыре новых руткита Linux (Puma, Pumatsune, Kitsune и Megatsune) и бэкдор Bulldog.

При проведении расследования удивление вызвало неожиданно большое количество и разнообразие вредоносных образцов, что позволило проследить эволюцию руткита и его принадлежность к Shedding Zmiy.

В совокупности найденные артефакты указывали на то, что жертва как будто использовалась в качестве полигона для их обкатки.

Всего нашлось: 10 руткитов Puma различных версий, 15 образцов Bulldog Backdoor (GoRed), и Megatsune (Kitsune руткит, в котором переменная среды называлась MEGATSUNE, а не KITSUNE) с ранее известными C2.

Puma – это комплексный Linux-руткит уровня ядра на вооружении Shedding Zmiy. В его состав входят: загрузчик, сам руткит и userspace-руткит Pumatsune (обновленная версия ранее известного руткита Kitsune).

Для закрепления Puma используется загрузчик, которым заменяют легитимный файл cron. Он в ходе выполнения запускает легитимный cron в памяти для максимальной скрытности.

Техника подмены легитимных файлов – одна из любимых у группировки Shedding Zmiy. Вторая – подмена отображаемого имени процесса (argv0).

Puma получает команды через хук команды rmdir и может скрывать процессы, файлы и сетевые соединения, повышать привилегии, воровать аутентификационные данные и криптографические ключи.

Руткит использует уникальный бесфайловый механизм запуска компонента Pumatsune, основная задача которого – взаимодействие с C2, выполнение команд и эксфильтрация чувствительных данных.

Помимо руткитов Megatsune, Puma и Pumatsune, группировка также развернула на исследованных системах свой привычный набор инструментов: gsocket и Bulldog Backdoor.

Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки.

В исследованном инциденте атакующие практиковали кибершпионаж.

Однако в случаях, когда цель не представляет интереса, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы, что обеспечивается функциональностью указанных руткитов.

Таким образом, Shedding Zmiy продолжает оставаться серьезной угрозой для российских компаний, активно развивая существующие инструменты (Bulldog Backdoor, userland руткит Megatsune), а также пополняя свой арсенал новыми - руткитом Puma в связке с userland руткитом Pumatsune.

Ivanti вновь под ударом киберподполья, о чем чем предупреждает CISA, проливая свет на новую вредоносную программу под названием RESURGE, которая была развернута в рамках кампании, нацеленной на уже исправленную уязвимость в устройствах Ivanti Connect Secure (ICS).

RESURGE содержит функционал варианта SPAWNCHIMERA, включая сохранение после перезагрузки, однако также имеет и отличительные команды, которые изменяют его поведение, реализуя возможности руткита, дроппера, бэкдора, буткита, прокси и туннелера.

Проблема, связанная с развертыванием вредоносного ПО, отслеживается как CVE-2025-0282 и представляет собой RCE-уязвимость переполнения буфера в стеке, затрагивая Ivanti Connect Secure до версии 22.7R2.5, Ivanti Policy Secure до версии 22.7R1.2 и Ivanti Neurons for ZTA gateways до версии 22.7R2.3.

По данным Mandiant, CVE-2025-0282 была использована для нацеливание и доставки так называемой экосистемы вредоносного ПО SPAWN (SPAWNANT, SPAWNMOLE и SPAWNSNAIL).

Использование SPAWN приписывается группе кибершпионажа, связанной с Китаем и получившей название UNC5337.

В прошлом месяце JPCERT/CC фиксировал, что ошибка используется для распространения обновленной версии SPAWN, известной как SPAWNCHIMERA, которая объединяет все вышеупомянутые разрозненные модули в одну монолитную вредоносную ПО, а также включает изменения для более эффективного межпроцессного взаимодействия через доменные сокеты UNIX.

Новая версия содержала функцию исправления уязвимости CVE-2025-0282, которая затрудняет другим злоумышленникам использовать ее в собственных кампаниях.

Улучшения RESURGE (libdsupgrade.so), согласно CISA, связаны с поддержкой дополнительного функционала:

- злоупотребление ld.so.preload, настройка веб-оболочки, управление проверками целостности и изменение файлов;

- разрешения на использование веб-оболочек для сбора учетных данных, создания учетных записей, сброса паролей и повышения привилегий;

- копирование веб-оболочки на загрузочный диск Ivanti и управление запущенным образом coreboot.

Стоит отметить, что CVE-2025-0282 также использовалась в качестве 0-day и другой связанной с Китаем группой угроз, известной как Silk Typhoon (ранее Hafnium), о чем Microsoft сообщала ранее в этом месяце.

Последние результаты показывают, что операторы вредоносного ПО, активно совершенствуют свои технологии, поэтому организациям крайне важно обновлять экземпляры Ivanti до последней версии и следовать мерам смягчения последствий.

Но, как показывает практика, особого эффекта от этого клиенты Ivanti не испытывают, только лишь оттенки серого (или не всегда серого).

Израильская Check Point отчасти подтвердила инцидент после того, как в даркнете появились сообщения о краже ценных данных из систем компании.

На выходных хакер с псевдонимом CoreInjection объявил на BreachForums о продаже информации, предположительно, принадлежащей Check Point, по цене в 5 биткоинов (примерно 430 000 долларов США).

Злоумышленник заявил о краже широкого спектра данных, включая проектную документацию, учетные данные, схемы сетевой архитектуры, исходный код, двоичные файлы и контактные данные сотрудников.

Для подтверждения в качестве пруфов прилагается ряд скринов, демонстрирующих доступ к системам Check Point.

По мнению одного из соучредителей Hudson Rock, представленные общественности скриншоты выглядят подлинными, особенно с учетом того, что на счету хакера уже есть кейсы с реальными утечками.

Начиная с середины марта, CoreInjection реализует данные, якобы украденные у пяти компаний, большинство из которых базируются в Израиле.

Диапазон запрашиваемого прайса на остальные четыре листинга варьируются от $30 000 до $100 000.

В свою очередь, Check Point отреагировала на заявления хакера, утверждая об отсутствии новой утечки и указывая на значительное преувеличение важности украденных данных.

По данным Check Point, утечка относится к инциденту, произошедшему в декабре 2024 года после того, как были скомпрометированы креды одной учетной записи с портала, которая имела ограниченный доступ, а вторжение было немедленно нейтрализовано.

Причем скомпрометированная среда не включала в себя системы клиентов, прод или архитектуру безопасности, и в целом явно не соответствует описанию хакера.

Компания пояснила, что в результате инцидента было раскрыто несколько учетных записей с названиями продуктов, список адресов электронной почты сотрудников и три учетные записи клиентов с именами контактных лиц.

Вторжение было оперативно и тщательно расследовано, все слитые данные обновлены, а также достоверно установлено, что клиентская информация риску утечки не подверглась, а по части безопасности все угрозы курированы.

Но будем посмотреть.

Microsoft рапортует об успешном опыте задействования своего инструмента Security Copilot на базе ИИ для обнаружения 20 ранее неизвестных уязвимостей в загрузчиках с открытым исходным кодом GRUB2, U-Boot и Barebox.

GRUB2 (GRand Unified Bootloader) является загрузчиком по умолчанию для большинства дистрибутивов Linux, включая Ubuntu, а U-Boot и Barebox обычно используются во встраиваемых устройствах и устройствах Интернета вещей.

11 проблем исследователи нашли в GRUB2, включая целочисленные переполнения (CVE-2025-0677 - 0678, 0684 - 0686, CVE-2025-1125), чтение за пределами выделенной памяти (CVE-2025-0689), запись за пределами допустимого диапазона (CVE-2025-0690) и переполнения буфера (CVE-2024-56737), недостатки команд (CVE-2025-1118) и атаку по побочному каналу (CVE-2024-56738).

Всем вышеперечисленным уязвимостям присвоен средний уровень серьезности, за исключением CVE-2025-0678, которой присвоен высокий с оценкой CVSS v3.1: 7,8.

Кроме того, в U-Boot и Barebox было найдено 9 переполнений буфера при анализе SquashFS, EXT4, CramFS, JFFS2 и символических ссылок, для эксплуатации которых требуется физический доступ.

Недавно обнаруженные уязвимости затрагивают устройства с UEFI Secure Boot и при соблюдении определенных условий злоумышленники могут обойти средства защиты и выполнить произвольный код на устройстве.

Несмотря на то, что эксплуатация уязвимостей U-boot или Barebox, скорее всего, потребует локального доступа к устройствам, предыдущие атаки с использованием буткитов, таких как BlackLotus, достигались посредством заражения вредоносным ПО.

При этом в случае GRUB2 уязвимости могут быть дополнительно использованы для обхода Secure Boot и установки скрытых буткитов или потенциального обхода других механизмов безопасности, таких как BitLocker.

По словам Microsoft, Security Copilot значительно ускорил процесс обнаружения уязвимостей в большой и сложной кодовой базе, такой как GRUB2, позволив сэкономить примерно 1 неделю, которая потребовалась бы для ручного анализа.

Инструмент на основе ИИ не только выявил ранее не задокументированные уязвимости, но и предоставил целевые рекомендации по смягчению последствий, которые могли бы служить ориентирами для выпуска исправлений, особенно в проектах с открытым исходным кодом.

Причем применение Security Copilot позволило также обнаружить схожие ошибки в проектах, использующих общий код с GRUB2, включая U-boot и Barebox.

GRUB2, U-boot и Barebox выпустили обновления безопасности для уязвимостей в феврале 2025 года, так что обновление до последних версий устраняет все перечисленные недостатки.

Тихий и интеллигентный отдых редтимов

Хакеры злоупотребляют малоизвестной функцией WordPress под названием Must Use Plugins для установки и сокрытия вредоносного ПО от администраторов сайта, обеспечивая при этом постоянный удаленный доступ.

Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.

Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.

Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.

По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.

Теперь эта активность значительно прогрессировала.

Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.

Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.

Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:

- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php

При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.

Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.

Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.

Исследователи из Лаборатории Касперского задетектили новую волну целевых атак группы кибершпионажа Head Mare на российские инжиниринговые компании с использованием нового бэкдора на основе Python под названием PhantomPyramid.

Согласно телеметрии ЛК, в марте 2025 года более 800 сотрудников более чем сотен организаций стали адресатами рассылки, которая содержала ранее неизвестный вредонос.

Среди целей злоумышленников оказались в том числе приборостроительная и машиностроительная отрасли.

Цепочка заражения включала однотипные письма от некоего секретариата с вложением «Заявка_[REDACTED]_5_03Д.zip». В них отправители просят адресата подтвердить получение информации и ознакомиться с прикреплённой заархивированной заявкой.

После открытия пользователем вложения, отображался документ-приманка с запросом на ремонт оборудования якобы от одного из министерств.

Как и во многих других целевых рассылках, вложение в письме содержит вредоносный файл, но в этой рассылке есть своя особенность. 

Злоумышленники отправляют запароленный архив, чтобы избежать его автоматического сканирования. На первый взгляд, так поступили и в новой кампании.

Однако авторы рассылки задействовали технику polyglot, позволяющую атакующим создавать файлы, которые могут одновременно содержать и безобидные компоненты, и вредоносный код, в том числе на нескольких языках программирования.

Один и тот же polyglot-файл может быть распознан системой как изображение, документ или исполняемый файл - в зависимости от контекста, в котором он открывается.

Исполняемая часть polyglot-файла представляет собой ранее неизвестный бэкдор PhantomPyramid, написанный на Python версии 3.8 и скомпилированный с использованием PyInstaller.

Одним из загружаемых компонентов является ПО MeshAgent для удалённого управления устройствами с открытым исходным кодом, входящий в решение MeshCentral.

Это легитимное ПО, которое теперь используют не только официальные организации, но и злоумышленники. Например, ранее оно замечено в деятельности группы Awaken Likho.

Новую волну целевых атак на объекты промышленности с высокой степенью уверенности исследователи ЛК атрибутировали к Head Mare.

Злоумышленник постоянно обновляет приёмы и вредоносные ПО в своих схемах, на этот раз группа использовала технику polyglot, которая раньше не встречалась в её арсенале, а также новый Python-бэкдор.

Индикаторы компрометации - в отчете.

📖Solar Dozor: 80% увольняющихся сотрудников пытаются забрать конфиденциальную информацию из компании

Эксперты ГК «Солар» проанализировали 230 инцидентов ИБ, выявленных при пилотировании DLP-системы Solar Dozor в организациях промышленного, финансового, фармацевтического, IT-, госсектора и других отраслей экономики за 2024 год. Анализ показал, что 🤦‍♂️ 8 из 10 увольняющихся сотрудников стараются забрать оттуда доступные им информационные активы, в т.ч. и конфиденциальную информацию.

Согласно данным экспертов «Солара», в 38% случаев увольняющиеся сотрудники пытаются 💽скачать базы, содержащие данные клиентов или партнеров.

🎩🎩🎩

✋ @Russian_OSINT

Журналисты Bloomberg сообщают об инциденте в Oracle Health, связанном с кражей медицинских данных с серверов компании, который последовал сразу вслед за предполагаемой компрометацией Oracle Cloud с кражей данных аутентификации LDAP для 6 миллионов человек.

Новый обнаруженный взлом произошел в конце января, и теперь хакер под именем Эндрю вымогает у американских поставщиков медицинских услуг выкуп в миллионы долларов в криптовалюте за за предотвращение дальнейшей утечки.

Oracle Health пока публично не раскрывала информацию об инциденте, но в частных сообщениях пострадавшим клиентам и в разговорах с вовлеченными источниками подтвердила, что в результате атаки были украдены данные пациентов.

Oracle Health, ранее известная как Cerner, реализует SaaS в сфере здравоохранения, предлагая электронные медицинские записи (EHR) и BOS -системы для больниц и медорганизаций.

После приобретения Oracle в 2022 году Cerner была объединена с Oracle Health, а ее системы были интегрированы в Oracle Cloud.

В уведомлении для пострадавших клиентов Oracle Health сообщает, что 20 февраля 2025 года ей стало известно о неправомерном доступе к данным Cerner, которые находились на устаревшем сервере, еще не перенесенном в Oracle Cloud.

Злоумышленник использовал скомпрометированные клиентские креды для взлома серверов приблизительно после 22 января 2025 года и скопировал данные на удаленный сервер.

Слитые данные при этом «могли» включать информацию о пациентах из электронных медицинских карт.

Сама Oracle Health уведомила больницы о том, что не намерена информировать пациентов напрямую, перекладывая это бремя на администрации медучреждений, которым следует самостоятельно определять, нарушены ли требования HIPAA и стоит ли сообщать клиентам.

Пока что неизвестно, использовалась ли в ходе атаки программа-вымогатель или это была лишь кража данных, ведь подробности об атаке не разглашаются.

Вообще непонятно, как учетные данные клиента могли позволить украсть данные из нескольких организаций.

Более всего удивляет то, что Oracle так не сообщила ни об одной из утечек в SEC до настоящего времени.

И восстали машины из пепла и ядерного огня...

Если чо - мы на Марс!

После раскрытия Лабораторией Касперского Операции ForumTroll и последовавшим исправлением Google 0-day в браузере Chrome, компания Mozilla также выпустила исправление для уязвимости, заметив схожие закономерности в коде своего браузера для Windows.

Однако помимо исправлений кода компании также приходится трудиться над улучшениями по части бюджета.

В частности, как сообщает Consumer Affairs, Mozilla обратилась к пользователям с просьбой пожертвовать на разработку браузера Firefox после того, как утратила финансирование в размере 2,5 млн. долл. правительства США по линии USAID.

И дело даже не том, что 2,5 млн. в общем многомиллионном бюджете компании (653 млн. долл. дохода в 2023 году) - это как капля в море, больше вопросов вызывает вездесущее участие американских спецслужб в деятельности технологических компаний, особенно тех, которые концептуализируются под конфиденциальность и приватность.

Возвращаясь к уязвимостям, отметим наиболее трендовые:

1. Исследователи Forescout обнаружили 46 уязвимостей у трех популярных поставщиков солнечных инверторов, включая те, которые могут представлять серьезную угрозу для электрических сетей.

Все они названы SUN:DOWN и могут использоваться для захвата устройств или их облачной платформы.

Среди затронутых поставщиков - Growatt, SMA и Sungrown.

SMA и Sungrow исправили все уязвимости и опубликовали рекомендации для уведомления клиентов. Growatt устранила несколько выявленных уязвимостей, однако большинство из них по состоянию на конец февраля оставались неисправленными.

2. Разработки Esri выпустили исправление для уязвимости аутентификации в своей платформе ArcGIS.

CVE-2025-2538 позволяет осуществлять несанкционированный доступ к платформе и имеет рейтинг серьезности 9,8/10.

Платформа ArcGIS - это географическая информационная система для управления и визуализации топографических данных, которая широко используется, прежде всего в госсекторе. В настоящее время в Интернете размещено более 1100 систем ArcGIS.

3. Недавно пользователи были предупреждены о критической уязвимости в корпоративном инструменте передачи файлов CrushFTP, который, как известно, находится в сфере пристального внимания со стороны киберпреступников.

Разработчики CrushFTP заявили, что эксплуатация может привести к неаутентифицированному доступу, но уязвимость смягчается, если включена функция DMZ.

CrushFTP 11.3.1+ и 10.8.4+ содержат исправления проблемы.

Заметив, что разработчики CrushFTP тупят и не назначают CVE, VulnCheck решила взять на себя ответственность и присвоила ей CVE-2025-2825.

Но гендир CrushFTP поступок не оценил и пригрозил исследователям санкциями, если они добровольно не откатят идентификатор. 

4. Согласно новому исследованию Sonatype, за последние 90 дней пользователи загружали уязвимые версии Apache Tomcat в три раза чаще, чем исправленные актуальные.

5. PoC для уязвимости облака IngressNightmare теперь доступен для широкой общественности. Всем приготовиться.

Тем временем в киберподполье вымогателей все динамично развивается.

1. Исследователи Resecurity делятся подробностями разборок банд, в ходе которых DragonForce взломала и полностью выпилила инфраструктуру одного из своих конкурентов - BlackLock.

Хакеры слили файлы конфигурации сервера для бэкэнда и сайта DLS BlackLock, которая по итогу не смогла восстановиться и вынуждена была ретироваться.

Группа была одной из самых активных операций по вымогательству на сегодняшний день, имея на счету десятки жертв за последние месяцы атак.

Причем помимо DragonForce в инфраструктуре банды побывали также исследователи Resecurity, которым удалось получить доступ к ее бэкэнду с возможностью ретроспективы.

При этом помимо BlackLock банда вымогателей DragonForce в этом же месяце устранила и другого конкурента - Mamona.

2. Bitdefender сообщает о новой разработке RedCurl. В арсенале группы кибершпионов теперь собственная разновидность программы-вымогателя.

Получившая название QWCrypt способна атаковать системы Windows и виртуальные машины Hyper-V.

Это достаточно значимое изменение в деятельности группы, ведь действуя с 2018 года, RedCurl обычно специализировалась на медленной и скрытой эксфильтрации данных.

3. CheckPoint расчехлила новую RaaS под названием VanHelsing, которая предлагает своим операторам до 80% от выкупных платежей.

Ее вредоносное ПО для шифрования файлов нацелено на Windows, но исследователи предполагают, что Linux и другие типы систем также могут быть объектом атак.

На момент проведения анализа CheckPoint известно о трех жертвах, от одной из которых хакеры потребовали выкуп в размере 500 000 долларов за расшифровку файлов и удаление украденных данных.

4. ESET выкатила отчет в отношении EDRKillShifter - инструмент, используемый RansomHub и другими бандами вымогателей для отключения продуктов EDR перед развертыванием их вредоносных ПО.

Кроме того, исследователи приводят ранее недокументированные сведения в отношении структуры операторов RansomHub, раскрывая четкие связи между этим недавно появившимся гигантом и устоявшимися бандами Play, Medusa и BianLian.

KELA профилировала и раскрыла реальные личности Rey и Pryx, ключевых участников хакерского коллектива Hellcat.

Первоначально известная как ICA Group, Hellcat появилась на сцене киберпреступности в конце 2024 года и смогла быстро заработать репутацию.

Громкий фурор произвели резонансные кибератаки на такие крупные корпорации, как Schneider Electric, Telefónica и Orange Romania.

В основу расследование KELA легли найденные материалы в отношении сетевой активности ключевых организаторов Hellcat на различных даркнет-площадках, в соцсетях и онлайн-платформах, аналитика по которым позволила деанонимировать их с потрохами.

Rey, ранее известный как Hikki-Chan, засветился на BreachForums в начале 2024 года, быстро привлекая внимание заявлениями о громких утечках и инцидентах. Некоторые из которых, VK и Kavim, - оказались по факту перепаковкой старых.

Несмотря на это, Rey продолжил активно заниматься киберпреступностью и стал админом группы Hellcat, специализируясь в своих операциях, прежде всего, на Jira.

Позже в ноябре 2024 года зарегался на XSS, но особо там не активничал.

Занялся хакерством в 2020 и фокусировался на взломе веб-сайтов. Называет себя экспертом по криптографии, профессиональным и прагматичным киберпреступником.

Тем не менее, это не помогло Rey избежать двух заражений инфостилером в феврале (Redline) и марте 2024 года (Vidar).

Причем одно из них - произошло на компьютере, который использовался членом его семьи.

Дальнейший анализ логов стилера позволил отследить его до личности молодого человека из Аммана в Иордании, вскрыть псевдонимы ggyaf и o5tdev, которые использовались им на хакерских форумах, включая RaidForums, BreachForums и др., а также аккаунты на GitHub, ProtonMail и cock il.

По итогу все о чем, он упоминал в анонимных интервью, в том числе относительно участия в Anonymous Palestine и связях с Иорданией, по итогу совпало и позволило его точно идентифицировать.

Его напарник Pryx действует с июня 2024 года на нескольких платформах, включая XSS, BreachForums, Dread, Telegram и X, активно участвует в технических дискуссиях и конкурсах.

До прихода в Hellcat начинал с индивидуальных атак на образовательные учреждения, а затем переориентировался на госсектор ОАЭ, Саудовской Аравии и Барбадосе.

Позже он расширил свою деятельность, нацелившись на частные компании и продавая вредоносное ПО, включая криптор на AES256. Вел личный блог (pryx.pw, ранее pryx.cc).

Сам говорит по-арабски и начинал в 2018 с кардинга. Активно продвигал ныне несуществующий форум киберпреступности DangerZone.

Разработал уникальную утилиту для эксфильтрации данных на основе Tor.

Правда, технический анализ одного из исходных кодов вредоносного ПО позволил выявить связи Pryx с доменом pato.pw, на котором была представлена одноименная платформа для исследователей безопасности, где были обнаружены упоминания руководства к Silent Tor File-server, соответствующего по описанию и скринам утилите Pryx.

Причем контент появился на pato.pw за две недели до того, как Pryx поделился им на форуме XSS.

Дальнейшее расследование привело к репозиторию на GitHub, связанному с pato.pw, который по итогу привел KELA к личности молодого человека из ОАЭ, который позиционирует себя в качестве эксперта по кибербезопасности.

Дальнейший анализ логов со стилеров также позволил отождествить все псевдонимы Pryx в X и Telegram, включая Weed/WeedSec (который тесно дружил с админом упомянутого DangerZone) и Adem.

По иронии судьбы, оба хакера, которые в своих киберкампаниях в значительной степени полагались на логи инфостилеров, сами стали жертвами этого вредоносного ПО, а теперь еще и объектами разработки спецслужб.

Splunk выпустила исправления для нескольких десятков уязвимостей в своих продуктах, включая две критически важные, связанные с удаленным выполнением кода и раскрытием информации в Splunk Enterprise и Secure Gateway App.

RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp.

Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации.

Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208.

Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk Secure Gateway на платформе Splunk Cloud Platform, которую также могли реализовать пользователи с низкими привилегиями.

Splunk Secure Gateway раскрывает сеанс пользователя и токены авторизации в открытом виде в файле splunk_secure_gateway.log при вызове конечной точки REST /services/ssg/secrets.

По данным Splunk, злоумышленник может использовать эту уязвимость как часть фишинговой атаки, убеждая жертву инициировать запрос в своем браузере.

Исправления для нее были включены в Splunk Enterprise версий 9.4.1, 9.3.3, 9.2.5 и 9.1.8, а также в Secure Gateway 3.8.38 и 3.7.23.

При этом Splunk Mobile, Spacebridge и Mission Control полагаются на функционал приложения Splunk Secure Gateway. Так что если не используется ни одно из приложений, функций или возможностей, в качестве потенциального смягчения можно удалить или отключить приложение.

Splunk также объявила об исправлении ряда ошибок средней степени серьезности в Splunk Enterprise, которые могут привести к изменению режима обслуживания, обходу мер безопасности, раскрытию информации и манипулированию другими пользовательскими данными.

Кроме того, устранены проблемы низкой степени серьезности в приложении Splunk App for Lookup Editing и множество уязвимостей в сторонних пакетах в Splunk Enterprise, App for Data Science and Deep Learning App, DB Connect, Infrastructure Monitoring Add-on и Splunk Add-on for Microsoft Cloud Services.

Splunk не упоминает об эксплуатации какой-либо из этих уязвимостей в реальных условиях, однако рекомендует пользователям как можно скорее обновить свои экземпляры Splunk Enterprise и другие уязвимые приложения Splunk.

Исследователи из Лаборатории Касперского выкатили еще один отчет, на этот раз по финансовым киберугрозам в 2024 году.

Поскольку все больше финансовых транзакций проводятся в цифровой форме, угрозы в этой сфере составляют большую часть глобального ландшафта киберугроз.

Поэтому исследователи ЛК изучают тенденции, связанные с ними, в рамках ежегодной аналитики по корпоративномцух и потребительскому секторам финансов.

В отчете содержатся основные тренды и статистика по финансовому фишингу, вредоносному ПО для мобильных и ПК-банков, а также предлагаются действенные рекомендации по усилению мер безопасности и эффективному смягчению возникающих угроз.

Основной акцент финансовых киберугроза в 2024 году сосредоточен на банковских троянах и фишинговых страницах, нацеленных на онлайн-банкинг, счета покупок, криптокошельки и другие финансовые активы.

Основные тренды:

- Самой популярной приманкой в 2024 году были банки, на долю которых пришлось 42,58% попыток финансового фишинга.

- В 2024 году 33,19% всех фишинговых и мошеннических страниц, нацеленных на пользователей интернет-магазинов, имитировали сайт Amazon Online Shopping.

- В 2024 году количество фишинговых атак с использованием криптовалюты выросло на 83,37% по сравнению с предыдущим годом и составило 10,7 миллиона случаев по сравнению с 5,84 миллиона в 2023 году.

- Число пользователей ПК, пострадавших от финансового вредоносного ПО, сократилось с 312 000 в 2023 году до 199 000 в 2024 году.

- Наиболее распространенными семействами вредоносных программ были ClipBanker, Grandoreiro и CliptoShuffler, которые в общей сложности атаковали более 89% пострадавших пользователей.

- Потребители по-прежнему остаются основной целью финансовых киберугроз, на их долю приходится 73,69% атак.

- В 2024 году с вредоносным ПО для мобильного банкинга столкнулись почти 248 000 пользователей — это почти в 3,6 раза больше, чем в 2023 году, когда пострадали 69 000 пользователей.

- Mamont оказался самым активным семейством вредоносных программ для Android, на долю которого пришлось 36,7% всех атак мобильных банкеров.

- Наиболее целевыми оказались пользователи в Турции.